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出 版 说 明 


由 于 网 络 应 用 越 来 越 普及 ,信息 化 的 社会 已 经 呈现 出 越 来 越 广阔 的 前 景 ,可 以 肯定 地 说 ， 
在 未 来 的 社会 中 电子 支付 .电子 银行 .电子 政务 以 及 多 方面 的 网 络 信息 服务 将 深入 到 人 
类 生活 的 方方面面 。 同 时 , 随 之 面临 的 信息 安全 问题 也 日 益 突 出 ,非法 访问 、 信 息 穷 取 、 
甚至 信息 犯罪 等 恶意 行为 导致 信息 的 严重 不 安全 。 信 息 安全 问题 已 由 原来 的 军事 国防 
领域 扩展 到 了 整个 社会 ,因此 社会 各 界 对 信息 安全 人 才 有 强烈 的 需求 。 

信息 安全 本 科 专 业 是 2000 年 以 来 结合 我 国 特色 开设 的 新 的 本 科 专 业 , 是 计算 机 、 
通信 数学 等 领域 的 交叉 学 科 , 主 要 研究 确保 信息 安全 的 科学 和 技术 。 自 专业 创办 以 
来 ,各 个 高 校 在 课程 设置 和 教材 研究 上 一 直 处 于 探索 阶段 。 但 各 高 校 由 于 本 身 专业 设 
置 上 来 自 于 不 同 的 学 科 , 如 计算 机 ,通信 和 数学 等 ,在 课程 设置 上 也 没有 统一 的 指导 规 
范 , 在 课程 内 容 \ 深 浅 程度 和 课程 衔接 上 ,存在 模糊 不 清 、 内 容重 倒 、 知 识 覆 盖 不 全 面 等 
现象 。 因 此 ,根据 信息 安全 类 专业 知识 体系 所 覆盖 的 知识 点 ,系统 地 研究 目前 信息 安全 
专业 教学 所 涉及 的 核心 技术 的 原理 、 实 践 及 其 应 用 ,合理 规划 信息 安全 专业 的 核心 课 
程 ,在 此 基础 上 提出 适合 我 国信 息 安 全 专业 教学 和 人 才 培 养 的 核心 课程 的 内 容 框架 和 
知识 体系 ,并 在 此 基础 上 设计 新 的 教学 模式 和 教学 方法 ,对 进一步 提高 国内 信息 安全 专 
业 的 教学 水 平和 质量 具有 重要 的 意义 。 

为 了 进一步 提高 国内 信息 安全 专业 课程 的 教学 水 平和 质量 .培养 适应 社会 经 济 发 
展 需要 的 、 兼 具 研究 能 力 和 工程 能 力 的 高 质量 专业 技术 人 才 。 在 教育 部 相关 教学 指导 
委员 会 专家 的 指导 和 建议 下 ,清华 大 学 出 版 社 与 国内 多 所 重点 大 学 共同 对 我 国信 息 安 
全 人 才 培 养 的 课程 框架 和 知识 体系 ,以 及 实践 教学 内 容 进 行 了 深入 的 研究 ,并 在 该 基础 
上 形成 了 “信息 安全 人 才 需 求 与 专业 知识 体系 、 课 程 体系 的 研究 ”等 研究 报告 。 

本 系列 教材 是 在 课程 体系 的 研究 基础 上 总 结 、 完 善 而 成 ,力求 充分 体现 科学 性 、 先 
进 性 、 工 程 性 ,突出 专业 核心 课程 的 教材 ,兼顾 具有 专业 教学 特点 的 相关 基础 课程 教材 ， 
探索 具有 发 展 潜力 的 选修 课程 教材 ,满足 高 校 多 层次 教学 的 需要 。 

本 系列 教材 在 规划 过 程 中 体现 了 如 下 一 些 基 本 组 织 原则 和 特点 。 

(1) 反映 信息 安全 学 科 的 发 展 和 专业 教育 的 改革 ,适应 社会 对 信息 安全 人 才 的 培 
养 需求 ,教材 内 容 坚持 基本 理论 的 扎实 和 清晰 ,反映 基本 理论 和 原理 的 综合 应 用 ,在 其 
基础 上 强调 工程 实践 环节 ,并 及 时 反映 教学 体系 的 调整 和 教学 内 容 的 更 新 。 

(2) 反映 教学 需要 ,促进 教学 发 展 。 教 材 要 适应 多 样 化 的 教学 需要 ,正确 把 握 教学 
内 容 和 课程 体系 的 改革 方向 ,在 选择 教材 内 容 和 编写 体系 时 注意 体现 素质 教育 、 创 新 能 
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力 与 实践 能 力 的 培养 ,为 学 生 知识 .能力 \ 素 质 协调 发 展 创造 条 件 。 

(3) 实施 精品 战略 ,突出 重点 。 规 划 教材 建设 把 重点 放 在 专业 核心 (基础 ?课程 的 教材 
建设 上 ; 特别 注意 选择 并 安排 一 部 分 原来 基础 比较 好 的 优秀 教材 或 讲义 修订 再 版 ,逐步 形 
成 精品 教材 ; 提倡 并 鼓励 编写 体现 工程 型 和 应 用 型 的 专业 教学 内 容 和 课程 体系 改革 成 果 的 
教材 。 

(4) 支持 一 纲 多 本 ,合理 配套 。 专 业 核心 课 和 相关 基础 课 的 教材 要 配套 ,同一 门 课程 可 
以 有 多 本 具有 各 自 内 容 特点 的 教材 。 处 理 好 教材 统一 性 与 多 样 化 ,基本 教材 与 辅助 教材 . 教 
学 参考 书 ,文字 教材 与 软件 教材 的 关系 ,实现 教材 系列 资源 的 配套 。 

(5) 依靠 专家 ,择优 落实 。 在 制定 教材 规划 时 依靠 各 课程 专家 在 调查 研究 本 课程 教材 
建设 现状 的 基础 上 提出 规划 选 题 。 在 落实 主编 人 选 时 ,要 引入 竞争 机 制 ,通过 申报 .评审 确 
定 主编 。 书 稿 完成 后 认真 实行 审 稿 程序 ,确保 出 书 质量 。 

繁荣 教材 出 版 事业 ,提高 教材 质量 的 关键 是 教师 。 建 立 一 支 高 水 平 的 .以 老 带 新 的 教材 
编写 队伍 才能 保证 教材 的 编写 质量 ,希望 有 志 于 教材 建设 的 教师 能 够 加 入 到 我 们 的 编写 队 
伍 中 来 。 
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前 言 


21 世 纪 是 信息 的 时 代 。 信 息 已 经 成 为 一 种 重要 的 战略 资源 ,以 Internet 为 代表 的 计算 机 
网 络 正 引起 社会 和 经 济 的 深刻 变革 , 极 大 地 改变 了 人 们 的 生活 和 工作 方式 ,是 人 们 生活 
和 工作 不 可 分 割 的 组 成 部 分 。 因 此 ,确保 网 络 与 信息 安全 已 经 成 为 全 球 关注 的 重要 问 
题 和 信息 技术 领域 的 研究 热点 。 

本 书 融入 了 作者 最 近 几 年 从 事 计算 机 网 络 与 信息 安全 教学 、 科 研 的 成 果 。 全 书 内 
容 面 向 市 场 需求 ,简单 易学 ,全 面 、 专 业 , 所 有 软件 实 训 方案 均 由 Windows Server 2003 
真实 验证 ,所 有 硬件 实 训 方案 均 可 在 神州 数码 网 络 安全 设备 实现 。 

本 书 编写 的 方法 是 尊重 人 类 认识 事物 的 基本 规律 , 即 从 简单 到 复杂 、 从 具体 到 抽象 、 
从 特殊 到 一 般 , 以 实践 为 基础 ; 认识 信息 安全 的 基本 规律 信息 安全 面临 的 威胁 ,解决 威 
胁 的 主要 技术 ,硬件 设备 的 安全 和 操作 系统 的 安全 是 信息 安全 的 基础 ,密码 技术 、 网 络 安 
全 技术 是 关键 技术 ,遵循 这 一 主线 ,阐述 物理 安全 、 密 码 技术 、 网 络 安全 等 主要 防御 机 制 。 

全 书 共 9 章 , 第 1 童 介绍 信息 安全 的 根源 ,意义 、 含 义 和 方 向 ; 第 2 章 阐述 物理 安 
全 ; 第 3 章 引 入 密码 学 基础 与 应 用 ; 第 4 章 论 述 网 络 攻击 与 安全 防范 ; 第 5 章 介绍 网 
络 安全 技术 ; 第 6 章 阐述 信息 系统 安全 ; 第 7 章 探 讨 信 息 内 容 安 全 ; 第 8 章 介 绍 云 计 
算 与 云 安全 ; 第 9 章 引 入 信息 安全 管理 。 内 容 编排 符合 认识 规律 , 迎 辑 性 强 ; 案例 贯穿 
于 每 一 章 , 内 容 讲解 清晰 透彻 ,重要 知识 技能 引入 实 训 。 

读者 最 好 具有 计算 机 与 通信 系统 的 基本 知识 ,包括 数据 结构 、 操 作 系 统 、 计 算 机 原 
理 、 计 算 机 网 络 和 现代 通信 原理 。 作 为 应 用 型 教材 ,网 络 安全 技能 知识 可 以 作为 一 门 课 
程 独立 开设 。 作 者 主编 的 《网络 安全 技术 (清华 大 学 出 版 社 出 版 ) 是 一 本 很 不 错 的 教材 。 
对 于 信息 安全 专业 的 学 生 , 可 选修 “信息 安全 数学 基础 "和 “现代 密码 学 "等 相关 课程 。 

本 书 由 李 挫 保 主编 。 建 议 学 时 数 为 64 一 72 学 时 。 对 于 网 络 实 训 设 备 不 够 的 学 校 ， 
建议 采用 思科 模拟 器 Packet Tracer 5. 3 进行 实 训 。 

本 书 配 有 习题 素材 和 实 训 ,相关 内 容 可 从 清华 大 学 出 版 社 网 站 下 载 ,对 本 书 的 建 
议 可 发 送 至 邮箱 : shbli@126. com。 

本 书 的 出 版 得 到 了 清华 大 学 出 版 社 的 易 力 支持 和 帮助 ,在 此 致 以 囊 心 的 感谢 ! 

限于 笔者 学 识 , 不 足 之 处 县 请 同行 专家 批评 指正 。 


编 者 
2014 年 6 月 
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信息 作为 一 种 重要 的 战略 资源 ,信息 的 获取 、 处 理 和 安全 保障 能 力 成 为 一 个 国家 综合 国 
力 的 重要 组 成 部 分 。 信 息 安全 事 关 国家 安全 、 事 关 社 会 稳定 。 信 息 安 全 问题 已 威胁 到 国家 
的 政治 ,经 济 、 文 化 和 意识 形态 等 领域 ,成 为 社会 稳定 安全 的 必要 前 提 条 件 。 本 章 简 要 介绍 
信息 安全 问题 产生 需要 掌握 的 一 些 基本 概念 ,重点 介绍 网 络 空间 的 黑客 攻击 、 信 息 安全 的 基 
本 内 涵 、 信 息 安全 的 发 展 历程 .信息 安全 威胁 ,信息 安全 技术 和 信息 安全 管理 。 


1.1 网 络 空间 的 黑客 攻击 


随 着 计算 机 网 络 移动 互联 网 、 物 联网 和 云 计 算 在 商业 领域 的 普及 应 用 ,社会 对 网 络 空 
间 的 信息 共享 资源 依赖 性 越 来 越 强 。 企 业 和 个 人 利用 移动 通信 网 络 感知 处理, 传递 和 存储 
一 些 机 密 数 据 , 使 其 免 受 未 经 授权 人 员 的 窃取 、 伪 造 、 筑 改 和 破坏 等 极端 行为 的 威胁 。 

近年 来 “黑客 ?攻击 已 成 为 危害 计算 机 网 络 移动 智能 终端 \ 云 计算 服务 和 信息 安全 的 
多 发 性 事件 ,下 面 列 出 一 些 经 典 的 真实 案例 。 

2009 年 12 月 ,某国 武装 分 子 使 用 标价 仅 为 25. 95 美元 的 黑客 软件 ,成 功 侵入 美国 中 央 
情报 局 (CIA) 的 “捕食 者 "无 人 机 攻击 系统 。 单 价 2000 万 美元 的 “捕食 者 ?无 人 机 上 搭载 有 
“地 狱 火 ” 导 弹 , 经 常 在 伊拉克 、 阿 富 汗 以 及 巴基斯坦 境内 对 武装 分 子 发 动 攻击 。 

2010 年 9 月 ,Stuxnet 蠕虫 人 侵 伊 朗 Bushehr 核电 站 电网 和 工业 控制 计算 机 系统 ,远程 
控制 一 些 核心 计算 机 信息 系统 ,造成 核电 站 大 规模 运行 故障 。 

2014 年 1 月 ,我 国 免费 DNSPON 解析 服务 器 遭受 不 明 来 源 的 流量 攻击 ,导致 全 国 出 现 
大 范围 DNS 故障 ,包括 baidu. com qq. com sina. com 等 使 用 顶级 域名 的 网 站 解析 出 现 异 
常 , 域 名 访问 请 求 被 跳 转 到 几 个 没有 响应 的 美国 IP 上 ,不 同 省 份 的 用 户 均 出 现 不 同 程度 的 
网 络 故 障 。 

以 上 只 是 少数 案例 ,实际 上 还 有 更 多 案例 未 被 报道 。 

信息 安全 的 威胁 ,总 体 上 可 以 分 为 两 大 类 。 

1. 自然 因素 

自然 因素 是 指 地 震 ` 水 灾 、 火 灾 、 飓 风 、 雷 电 等 人 类 不 可 抗拒 力量 导致 信息 本 身 或 访问 通 
道 遭 到 破坏 。 例 如 ,在 数据 传输 的 过 程 中 ,闪电 、 鼠 灾 、 电 气 设备 老化 等 会 造成 传输 时 的 信号 
干扰 .衰减 与 数据 完整 性 改变 等 问题 。 

2. 人 为 因素 

人 为 因素 是 指 黑客 企图 攻破 信息 系统 的 安全 访问 控制 ,从 中 获取 不 当 的 利益 。 特 别 是 
由 于 云 计 算 的 移动 性 .共享 性 和 服务 性 ,网 民 在 享受 Internet 带 来 的 无 穷 乐趣 的 同时 ,黑客 
利用 掌握 的 专业 知识 不 断 探测 云 计 算 系 统 的 漏洞 ,非法 盗 取 计 算 机 资源 ,破坏 计算 机 系统 的 
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正常 运行 机 制 。 信 息 安全 的 目的 主要 是 保护 所 有 信息 系统 内 的 资源 ,包括 机 密 数 据 、 计 算 机 
软件 资源 、 计 算 机 硬件 资源 及 网 络 通信 设备 。 计 算 机 系统 的 长 期 运行 ,会 造成 物理 硬件 的 疲 
劳 和 损坏 ,致使 存储 系统 重要 数据 丢失 和 运算 错误 。 因此 .经常 性 保养 硬件 系统 安全 ,是 信 
息 安全 管理 的 重要 课题 。 


1.2 信息 安全 的 基本 内 涵 


从 信息 安全 的 发 展 过 程 来 看 ,在 计算 机 出 现 以 前 ,通信 安全 以 保密 为 主 ,密码 学 是 信息 
安全 的 基础 和 核心 ; 随 着 计算 机 的 出 现 ,计算 机 系统 安全 保密 成 为 现代 信息 安全 的 重要 内 
容 ; 网 络 普 及 和 云 计算 的 出 现 , 使 得 分 布 式 跨 平台 的 信息 系统 的 安全 保密 成 为 信息 安全 的 
主要 内 容 。 

信息 安全 之 所 以 引起 人 们 的 普遍 关注 ,是 由 于 信息 安全 问题 目前 已 经 涉及 人 们 日 常生 
活 学 习 工 作 的 各 个 方面 。 以 电子 商务 网 络 交易 为 例 ,2009 年 11 月 11 日 ( 双 十 一 , “光棍 
节 ”) ,淘宝 网 销售 额 为 0. 5 亿 元 ; 2010 年 ,销售 额 提高 到 9 亿 元 ; 2011 年 ,销售 额 已 跃升 到 
33 亿 元 ; 2012 年 ,交易 额 实现 飞速 增长 ,达到 191 亿 元 ; 2013 年 ,总 交易 额 突破 350 亿 元 。 
漂亮 的 数字 背后 ,电子 商务 交易 必须 遵循 客观 事实 : 交易 双方 都 是 谁 ? 信息 在 传输 过 程 中 
是 否 被 算 改 (信息 的 完整 性 )? 信息 在 传送 途中 是 否 会 被 外 人 看 到 (信息 的 保密 性 )? 网 上 支 
付 后 ,对 方 是 否 会 不 认 账 (不 可 抵赖 性 )? 因此 ,商家 、 银 行 个 人 对 电子 交易 安全 的 担忧 是 必 
然 的 ,电子 商务 的 安全 问题 已 经 成 为 阻碍 现代 服务 业 发 展 的 瓶 天。 推动 信息 安全 技术 不 断 
发 展 和 普及 ,是 信息 服务 产业 的 重要 使 命 。 

信息 安全 涉及 的 领域 相当 广泛 ,人 们 对 信息 财产 的 使 用 主要 通过 计算 机 网 络 来 实现 , 信 
息 的 处 理 在 计算 机 和 网 络 上 是 以 数据 的 形式 进行 的 。 从 这 个 角度 来 说 ,信息 就 是 数据 ,信息 
安全 可 以 分 为 数据 安全 和 系统 安全 。 因 此 ,信息 安全 可 以 从 两 个 层次 来 看 。 

从 消息 的 层次 ,包括 信息 的 完整 性 (Integrity), 即 保证 消息 的 来 源 . 去 向 .内 容 真实 无 
误 ; 保密 性 (Confidientiality), 即 保 证 消息 不 会 被 非法 泄露 扩散 ; 不 可 否认 性 (Non- 
repudiation) ,也 称 为 不 可 抵赖 性 , 即 保证 消息 的 发 送 者 和 接收 者 无 法 否认 自己 所 做 过 的 操 
作 行 为 等 。 从 网 络 层 次 ,包括 可 用 性 (Availability) , 即 保证 网 络 和 信息 随时 可 用 ,运行 过 程 中 
不 出 现 故 障 ,车 遇 意 外 打击 尽 可 能 减少 损失 并 尽快 恢复 正常 ; 可 控 性 (Controllability) , 即 对 网 
络 信息 的 传播 及 内 容 具 有 控制 能 力 的 特性 。 信 息 安全 的 基本 属性 主要 表现 在 以 下 五 个 
方面 。 

1. 完整 性 

完整 性 是 指 未 经 授权 不 能 修改 数据 的 内 容 , 保 证 数据 的 一 致 性 。 在 网 络 传输 和 存储 过 
程 中 ,系统 必须 保证 数据 不 被 自 改 、 破 坏 和 丢失 。 因 此 ,网 络 系统 有 必要 采用 某 种 安全 机 制 
确认 数据 在 此 过 程 中 没有 被 修改 。 

2. 保密 性 

保密 性 是 指 由 于 网 络 系统 无 法 确认 是 否 有 未 经 授权 的 用 户 截取 数据 或 非法 使 用 数据 ， 
这 就 要 求 使 用 某 种 手段 对 数据 进行 保密 处 理 。 数 据 保 密 可 分 为 网 络 传输 保密 和 数据 存储 保 
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密 。 对 机 密 敏感 的 数据 使 用 加 密 技术 ,将 明文 转化 为 密 文 ,只 有 经 过 授权 的 合法 用 户 才能 利 
用 密 钥 将 密 文 还 原 成 明文 。 反 之 ,未 经 授权 的 用 户 无 法 获得 所 需 信 息 。 这 就 是 数据 的 保 
密 性 。 

3. 可 用 性 

可 用 性 是 指 信息 可 被 授权 者 访问 并 按 需 求 使 用 的 特性 , 即 保证 合法 用 户 对 信息 和 资源 
的 使 用 不 会 被 不 合理 地 拒绝 。 对 可 用 性 的 攻击 就 是 阻 断 信息 的 合理 使 用 ,例如 ,破坏 系统 的 
正常 运行 就 属于 这 种 类 型 的 攻击 。 

4. 不 可 否认 性 

不 可 否认 性 是 指 建 立 有 效 的 责任 机 制 ,防止 网 络 系统 中 合法 用 户 否认 其 行为 ,这 一 点 在 
电子 商务 中 是 极其 重要 的 。 抗 否认 包含 两 个 方面 : 数据 来 源 的 抗 否 认 ,为 数据 接收 者 B 提 
供 数据 的 来 源 证 据 , 使 发 送 者 A 不 能 否认 其 发 送 过 这 些 数据 或 不 能 否认 发 送 数据 的 内 容 ; 
数据 接收 的 抗 否认 ,为 数据 的 发 送 者 A 提供 数据 的 交付 证 据 , 使 接收 者 B 不 能 否认 其 接收 
过 这 些 数 据 或 不 能 否认 接收 数据 的 内 容 。 

5. 可 控 性 

可 控 性 是 指 对 信息 的 传播 及 内 容 具 有 控制 能 力 的 特性 。 授 权 机 构 可 以 随时 控制 信息 的 
机 密 性 ,能 够 对 信息 实施 安全 监控 。 


1.3 信息 安全 的 发 展 历程 


信息 安全 自古 以 来 就 受到 人 们 的 持续 关注 ,但 在 不 同 的 发 展 时 期 ,信息 安全 的 侧重 点 和 
控制 方式 是 不 同 的 。 需 要 全 面 理 解 信息 安全 的 发 展 历程 ,粗略 地 讲 , 可 把 信息 安全 分 成 三 个 
基本 阶段 。 

1. 通信 安全 

早期 ,所 有 的 资产 是 物理 的 ,重要 的 信息 也 是 物理 的 ,如 古代 把 文字 刻 在 骨头 上 即 甲骨 
文 , 到 后 来 把 文字 写 在 纸 上 。 信 息 传递 通常 由 信使 完成 ,如 果 信 使 被 敌人 武力 劫持 , 报 文 的 
信息 就 会 被 敌人 知悉 ,因此 就 产生 了 通信 安全 的 问题 ,可 见 物理 安全 是 存在 缺陷 的 。 

第 二 次 世界 大 战 期 间 , 德 国人 发 明了 一 种 称 为 Enigma 的 机 器 来 加 密 报 文 ( 图 1-1 所 
示 ) ,用 于 军队 ,当时 他 们 认为 Enigma 是 不 可 破译 的 。 确 实 是 这 样 ,如 果 使 用 恰当 ,要 破译 
它 非常 困难 。 但 经 过 一 段 时 间 发 现 ,由 于 某 些 操作 员 的 使 用 差错 ,Enigma 被 破译 了 。 
电子 耦合 


公共 交换 电话 网 


加 密 信号 和 原始 的 未 加 
密 信号 都 在 电话 线 上 


图 1-1 Enigma 加 密 报 文 
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军事 通信 也 使 用 编码 技术 ,将 每 个 字 编 码 后 放 入 报 文 传输 。 在 战争 期 间 , 日 本 人 曾 用 编 
码 后 的 字 通 信和 ,即使 美国 人 截获 了 这 些 编码 也 难以 识别 该 报 文 。 在 准备 Midway 之 战 时 ,日 
本 人 曾 传 送 编码 后 的 报 文 , 使 日 美 之 间 在 编码 和 破译 之 间 展 开 了 一 场 有 关 通 信安 全 的 对 抗 。 

2. 计算 机 安全 

1938 年 ,德国 人 康 拉 德 . 楚 泽 发 明了 运行 二 进 制 数 据 的 计算 机 ; 1985 年 ,美国 微软 公 
司 开发 出 了 Windows 操作 系统 。 从 此 ,计算 机 系统 以 指数 的 速度 发 展 ,互联 网 普及 率 迅速 
提升 ,大 部 分 信息 资产 以 电子 形式 移植 到 计算 机 上 ,人 们 用 交互 会 话 的 方式 访问 计算 机 
系统 。 

20 世纪 70 年 代 ,David Bell 和 Leonard La Padula 开发 了 一 个 安全 计算 机 的 操作 模型 ， 
该 模型 基于 政府 概念 的 各 种 级 别 分 类 信息 (一 般 \ 秘 密 、 机 密 、 绝 密 ) 和 各 种 许可 级 别 。 如 果 
主体 的 许可 级 别 高 于 文件 (客体 ) 的 分 类 级 别 , 则 主体 能 访问 客体 。 如 果 主 体 的 许可 级 别 低 
于 文件 (客体 ) 的 分 类 级 别 , 则 主体 不 能 访问 客体 。 这 个 模型 的 概念 进一步 发 展 ,1983 年 , 美 
国 国防 部 发 布 了 橘 皮 书 标准 500. 28 一 一 可 信 计 算 机 系统 评估 准则 (the Trusted Computing 
System Evaluation Criteria,TCSEC) 。 

TCSEC 共 分 为 四 类 七 级 : DD 级 ,安全 保护 欠缺 级 ; DC1 级 ,自主 安全 保护 级 ; @C2 
级 , 受 控 存 取保 护 级 ; 四 Bl 级 ,标记 安全 保护 级 ; @B2 级 ,结构 化 保护 级 ; @B3 级 ,安全 域 
保护 级 ; Al 级 ,验证 设计 级 。 

橘 皮 书 对 每 一 级 定义 了 功能 要 求 和 保证 要 求 , 也 就 是 说 要 符合 某 一 安全 级 要 求 ,必须 既 
满足 功能 要 求 ,又 满足 保证 要 求 。 为 了 使 计算 机 系统 达到 相应 的 安全 要 求 , 计 算 机 厂商 要 花 
费 很 长 时 间 和 很 多 资金 。 有 时 当 产 品 通过 级 别论 证 时 ,该 产品 已 经 过 时 了 。 计 算 机 技术 发 
展 得 如 此 之 迅速 , 当 老 的 系统 取得 安全 认证 之 前 新 版 的 操作 系统 和 硬件 已 经 出 现 。 

1999 年 ,我 国 发 布 了 计算 机 信息 系统 安全 保护 等 级 划分 准则 (Classified Criteria for 
Security Protection of Computer Information System) 的 国家 标准 ,序号 为 GB 17859- 
1999 ,评估 准则 的 制定 为 我 们 评估 、 开 发 .研究 计算 机 系统 的 安全 提供 了 指导 准则 。 

3. 信息 安全 保障 

通信 安全 解决 的 是 远 距 离 点 到 点 长 途 通 信和 的 安全 问题 。 随 着 Internet 的 发 展 及 其 普及 
应 用 ,如 何 解决 开放 网 络 环境 下 局 域 网 , 城 域 网 的 安全 问题 便 成 为 迫切 需要 解决 的 问题 。 

橘 皮 书 不 解决 联网 计算 机 的 安全 问题 。 为 此 ,1987 年 ,美国 国防 部 制定 了 TCSEC 的 可 
信 网 络 解释 TNI, 又 称 红 皮 书 。 除 了 满足 橘 皮 书 的 要 求 外 ,红皮书 还 企图 解决 计算 机 的 联 
网 环境 的 安全 问题 。 红 皮 书 主要 说 明 联 网 环境 的 安全 功能 要 求 , 较 少 阐述 保证 要 求 。 

通信 安全 的 主要 目的 是 解决 数据 传输 的 安全 问题 ,主要 的 措施 是 密码 技术 。 计 算 机 安 
全 的 主要 目的 是 解决 计算 机 信息 载体 及 其 运行 的 安全 问题 .主要 措施 是 根据 主 、 客 体 的 安全 
级 别 ,正确 实施 主体 对 客体 的 访问 控制 。 信 息 安全 保障 的 主要 目的 是 解决 分 布 网 络 环境 中 
对 信息 载体 及 其 运行 提供 的 安全 保护 问题 ,主要 措施 是 提供 完整 的 信息 安全 保障 体系 ,包括 
防护 .检测 、 响 应 恢复。 

随 着 信息 技术 的 发 展 与 应 用 ,信息 安全 的 内 涵 在 不 断 地 延伸 ,从 最 初 的 信息 保密 性 发 展 
到 信息 的 完整 性 、 可 用 性 、 可 控 性 和 不 可 否认 性 ,进而 又 发 展 为 “ 攻 ( 攻 击 )、 防 (防范 ) 、 测 ( 检 
测 )、 控 (控制 )、 管 (管理 ) 、 评 (评估 )” 等 多 方面 的 基础 理论 和 实施 技术 。 信 息 安 全 逐渐 演变 
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成 一 个 综合 、 交 叉 的 学 科 领 域 ,不 再 仅仅 限于 对 传统 意义 上 的 网 络 和 计算 机 技术 进行 研究 ， 
必须 要 综合 利用 数学 、 物 理 、 通 信 、 计 算 机 以 及 经 济 学 等 诸多 学 科 的 长 期 知识 积累 和 最 新 发 
展 成 果 , 进 行 自主 创新 研究 ,并 提出 系统 的 、 完 整 的 .协同 的 解决 方案 。 例 如 , 防 电磁 辐射 、 密 
码 技术 ,数字 签名 、 信 息 安 全 成 本 和 收益 等 方面 的 研究 都 分 别 涉 及 并 综合 了 计算 机 、 物 理学 、 
数学 以 及 经 济 学 上 的 一 些 原理 。 信 息 安 全 保障 体系 ,就 是 由 信息 系统 .信息 安全 技术 .人 、 管 
理 、 操 作 等 元 素 有 机 结合 ,能 够 对 信息 系统 进行 综合 防护 ,保障 信息 系统 安全 可 靠 运 行 、 保 障 
信息 的 “保密 性 、 完 整 性 、 可 用 性 、 可 控 性 、 抗 抵赖 性 "的 具有 “WPDRR” 能 力 的 综合 性 信息 系 
统 防护 体系 。1995 年 ,美国 国防 部 提出 了 “保护 一 监测 一 响应 ”的 动态 模型 , 即 PDR 模型 ， 
后 来 增加 了 恢复 ,成 为 PDR2(Protection,Detection,Reaction, Restore) 模 型 ,再 后 来 又 增加 
了 政策 (Policy) , 即 PZ2DR2, 如 图 1-2 所 示 。 


响应 、 恢复 
Response 、Restore 
| 
主体 监测 保护 客体 
Subjective Detection Protection Objective 
下 


策略 、 防 护 、 检 测 


Policy 、Protection 、Detection 


图 1-2 P2DR2 动态 安全 模型 


1.4 信息 安全 威胁 


熟悉 了 信息 安全 的 发 展 历史 ,对 进一步 全 面 系统 认识 信息 系统 的 安全 分 析 打 下 了 基础 ， 
首先 了 解 信息 安全 的 威胁 以 及 产生 威胁 的 根源 。 信 息 安 全 威胁 是 指 某 个 人 、 物 .事件 或 概念 
对 信息 资源 的 保密 性 完整 性 .可 用 性 或 合法 使 用 的 危害 。 攻 击 是 对 安全 威胁 的 具体 体现 ， 
根本 原因 就 是 利用 网 络 的 脆弱 性 ,入 侵 系统 的 有 价值 信息 资产 。 

网 络 脆弱 性 (Network Vulnerability) 主要 体现 在 以 下 三 个 方面 。 

1. 开放 的 网 络 环境 

互联 网 是 一 个 无 中 心 的 、 地 位 对 等 的 自由 网 络 , 你 和 每 个 人 都 能 互相 连接 ,可 怕 之 处 在 
于 每 个 人 都 能 和 你 互相 连接 。 

2. 协议 本 身 的 缺陷 

网 络 传输 离 不 开 TCP/IP 通信 协议 栈 , 每 一 层 都 有 不 同 的 漏洞 ,针对 协议 漏洞 的 攻击 非 
常 多 。 

3. 操作 系统 的 漏洞 

Windows、Linux、UNIX 等 多 种 类 型 网 络 操作 系统 都 不 可 避免 地 存在 诸多 安全 隐患 ,如 
非法 存 取 、 远 程控 制 、 缓 冲 区 溢出 以 及 系统 后 门 等 称 为 操作 系统 漏洞 。 微 软 报告 显示 ,2013 
年 Windows XP、Windows 7 和 Windows 8 的 漏洞 为 350 多 个 ,Windows 7 漏洞 为 102 个 ， 
Windows XP 漏洞 为 99 个 ,Windows 8 漏洞 则 高 达 156 个 ,这 一 数字 相 较 于 2012 年 翻 了 一 
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番 。2012 年 Windows 7 漏洞 为 50 个 .Windows XP 漏洞 为 49 个 。 

利用 开放 的 网 络 环境 .协议 缺陷 和 操作 系统 漏洞 ,许多 人 为 因素 和 非 人 为 因素 可 以 对 信 
息 系统 构成 威胁 ,但 是 尽心 设计 的 人 为 攻击 威胁 最 大 。 针 对 信息 系统 ,常见 的 威胁 有 以 下 
几 类 。 

(1) 物理 安全 威胁 : 是 指 对 系统 所 用 设备 的 威胁 。 物 理 设备 安全 是 信息 系统 安全 的 首 
要 问题 。 物 理 安全 威胁 主要 有 : 自然 灾害 (地 震 、 水 灾 、 火 灾 等 ) 造 成 整个 系统 毁灭 ; 电源 故 
障 造成 设备 断 电 以 致 操作 系统 引导 失败 或 数据 库 信息 丢失 ; 设备 被 盗 、 被 毁 造 成 数据 丢失 
或 信息 泄露 。 计 算 机 存储 的 数据 价值 远 远 超过 计算 机 本 身 , 必 须 采 取 严 格 的 防范 措施 以 确 
保 不 会 被 人 侵 者 窃取 。 

(2) 通信 和 链 路 安全 威胁 : 网 络 人 侵 者 可 能 在 传输 线路 上 安装 窃听 装置 ,窃听 网 上 传输 
的 信号 ,再 通过 一 些 技术 手段 读 出 数据 信息 ,造成 信息 泄露 ; 或 对 通信 和 链 路 进行 干扰 ,破坏 
数据 的 完整 性 。 

(3) 操作 系统 安全 威胁 : 操作 系统 安全 是 信息 系统 安全 的 基础 。 系 统 平台 最 危险 的 是 
在 系统 软件 或 硬件 芯片 中 植 入 威胁 ,如 “木马 ”或 “陷阱 门 "”。 操 作 系 统 的 安全 漏洞 通常 是 由 
开发 者 有 意 设置 的 ,这 样 他 们 就 能 在 用 户 失去 了 对 系统 的 所 有 访问 权 后 仍 能 进入 系统 。 

(4) 应 用 系统 安全 威胁 : 是 指 对 于 网 络 服务 或 用 户 业 务 系 统 安 全 的 威胁 。 应 用 系统 对 
应 用 安全 的 需求 有 足够 的 保障 能 力 。 应 用 系统 也 受到 “木马 "和 “陷阱 门 ”的 威胁 。 

(5) 管理 系统 安全 威胁 : 不 管 是 什么 样 的 网 络 系统 都 离 不 开 人 员 的 管理 ,必须 从 人 员 
管理 上 杜绝 安全 漏洞 。 再 先进 的 安全 技术 也 不 能 完全 防范 由 于 人 员 不 慎 造 成 的 信息 泄露 ， 
管理 安全 是 信息 安全 有 效 的 前 提 。 

(6) 网 络 安全 威胁 : 计算 机 网 络 的 使 用 对 数据 造成 了 新 的 安全 威胁 ,由 于 在 网 络 上 存 
在 电子 窃听 ,分 布 式 计算 机 的 特征 是 各 个 独立 的 计算 机 通过 一 些 媒介 相互 通信 。 当 内 部 网 
络 和 国际 互联 网 相 接 时 ,由 于 互联 网 的 开放 性 、 国 际 性 和 无 安全 关联 性 ,对 内 部 网 络 形成 严 
重 的 安全 威胁 。 

目前 还 没有 统一 的 方法 来 对 各 种 威胁 进行 分 类 ,也 没有 统一 的 方法 来 对 各 种 威胁 加 以 
区 别 。 信 息 安 全 所 面临 的 威胁 与 环境 密切 相关 ,不 同 威胁 的 存在 及 重要 性 是 随 环境 的 变化 
而 变化 的 。 


1.5 信息 安全 技术 


信息 安全 学 科 是 研究 信息 获取 、 信 息 存 储 、 信 息 传输 和 信息 处 理 领 域 中 信息 安全 保障 问 
题 的 一 门 新 兴学 科 。 信 息 安 全 学 科 是 计算 机 、 电 子 、 通 信 、 数 学 物理、 生物 ,管理 法 律 和 教 
育 等 学 科 交 叉 融 合 而 形成 的 一 门 新 型 学 科 。 它 与 这 些 学 科 既 有 紧密 的 联系 ,又 有 本 质 的 不 
同 。 信 息 安全 学 科 已 经 形成 了 自己 的 内 涵 、 理 论 .技术 和 应 用 ,并 服务 于 信息 社会 ,从 而 构成 
一 个 独立 的 学 科 。 信 息 安全 学 科 包 含 五 大 研究 方向 ,分 别 为 密码 学 、 网 络 安全 、 信 息 系 统 安 
全 、 信 息 内 容 安全 和 信息 对 抗 。 

密码 学 由 密码 编码 学 和 密码 分 析 学 组 成 ,其 中 密码 编码 学 主要 研究 对 信息 进行 编码 以 
实现 信息 隐藏 ,而 密码 分 析 学 主要 研究 通过 密 文 获取 对 应 的 明文 信息 ; 密码 学 研究 密码 理 
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论 .密码 算法 .密码 协议 、 密 码 技术 和 密码 应 用 等 。 

网 络 安全 的 基本 思想 是 在 网 络 的 各 个 层次 和 范围 内 采取 防护 措施 ,以 便 能 对 各 种 网 络 
安全 威胁 进行 检测 和 发 现 , 并 采取 相应 的 响应 措施 ,确保 网 络 环境 的 信息 安全 ; 网 络 安全 研 
究 网 络 安全 威胁 、 网 络 安全 理论 .网 络 安全 技术 和 网 络 安全 应 用 等 。 

信息 系统 是 信息 的 载体 ,是 直接 面 对 用 户 的 服务 系统 。 信 息 系统 安全 的 特点 是 从 系统 
级 的 整体 上 考虑 安全 威胁 与 防护 ; 它 研究 信息 系统 的 安全 威胁 、 信 息 系统 安全 的 理论 、 信 息 
系统 安全 技术 和 应 用 。 

信息 内 容 安全 是 信息 安全 在 政治 ,法律 .道德 层次 上 的 要 求 ; 我 们 要 求 信息 内 容 是 安全 
的 ,就 是 要 求 信息 内 容 在 政治 上 是 健康 的 ,在 法 律 上 是 符合 国家 法 律 法 规 的 ,在 道德 上 是 符 
合 中 华 民族 优良 的 道德 规范 的 。 

信息 对 抗 是 为 削弱 、 破 坏 对 方 电子 信息 设备 和 信息 的 使 用 效能 ,保障 已 方 电子 信息 设备 
和 信息 正常 发 挥 效 能 而 采取 的 综合 技术 措施 ,其 实质 是 斗争 双方 利用 电磁 波 和 信息 的 作用 
来 争夺 电磁 频谱 和 信息 的 有 效 使 用 和 控制 权 ; 信息 对 抗 研 究 信息 对 抗 的 理论 .信息 对 抗 技 
术 和 应 用 。 

信息 安全 技术 涉及 信息 传输 的 安全 、 信 息 存 储 的 安全 以 及 对 网 络 传输 信息 内 容 的 审计 
三 个 方面 。 为 了 保障 数据 传输 的 安全 ,需要 采用 数据 传输 加 密 技 术 、 数 据 完整 性 鉴别 技术 ; 
为 保证 信息 存储 的 安全 ,需要 进行 数据 备份 以 及 灾难 恢复 和 保证 终端 安全 ; 信息 内 容 审 计 
则 是 实时 地 对 进出 内 部 网 络 的 信息 进行 内 部 审计 ,以 保证 防止 或 追查 可 能 的 泄密 行为 。 
1.5.1 信息 保密 技术 

信息 保密 技术 包括 信息 加 密 技术 和 信息 隐藏 技术 。 

信息 加 密 是 指使 有 用 的 信息 变 为 看 上 去 似 为 无 用 的 乱码 ,使 攻击 者 无 法 读 懂 信 息 的 内 
容 从 而 保护 信息 。 信 息 加 密 是 保障 信息 安全 的 最 基本 、 最 核心 的 技术 理论 措施 和 理论 基础 ， 
它 也 是 现代 密码 学 的 主要 组 成 部 分 。 信 息 加 密 过 程 由 形形色色 的 加 密 算法 来 具体 实施 , 它 
以 很 小 的 代价 提供 很 大 的 安全 保护 。 到 目前 为 止 , 据 不 完全 统计 ,已 经 公开 发 表 的 各 种 加 密 
算法 多 达 数 百 种 。 如 果 按 照 首 发 双方 密 钥 是 否 相 同 来 分 类 .可 以 将 这 些 加 密 算法 分 为 单 钥 
密码 算法 和 公 钥 密码 算法 。 

当然 ,在 实际 应 用 中 , 单 钥 密 码 和 公 钥 密码 结合 在 一 起 使 用 ,比如 利用 AES 来 加 密 信 
息 , 采 用 RSA 来 传递 会 话 密 钥 。 如 果 按 照 每 次 加 密 所 处 理 的 比特 数 来 分 类 ,可 以 将 加 密 算 
法 分 为 序列 密码 和 分 组 密码 。 序 列 密码 每 次 只 加 密 一 个 比特 ,而 分 组 密码 则 先 将 信息 序列 
分 组 ,每 次 处 理 一 个 组 。 

加 密 是 网 络 安全 的 核心 技术 。 加 密 技术 不 仅 应 用 于 数据 的 存储 和 传输 的 过 程 中 ,而 且 
应 用 于 程序 的 执行 中 。 

网 络 中 的 数据 加 密 ,与 选择 的 加 密 算 法 密切 相关 。 加 密 算 法 可 分 为 对 称 密 钥 算法 和 非 
对 称 密 钥 算法 ,对 称 密 钥 属 于 私 钥 体制 , 即 加 密 密 钥 和 解密 密 钥 相同 ,典型 算法 有 DES、 
AES; 非 对 称 密 钥 属于 公 钥 体制 .有 两 把 密 钥 ( 公 钥 加 密 和 私 钥 解密 ) ,典型 算法 有 RSA, 它 
解决 了 网 络 环境 中 密 钥 的 分 发 问题 ,简化 了 密 钥 管理 。 

数据 加 密 主要 与 选择 的 加 密 方式 有 关 , 链 路 层 点 对 点 加 密 、 网 络 层 主机 对 主机 加 密 、 传 
输 层 进程 对 进程 加 密 和 应 用 层 内 容 加 密 。 加 密 算法 除了 提供 信息 的 保密 性 之 外 ,与 其 他 技 
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术 结 合 , 如 单 向 哈 希 (Hash) 函数 ,保证 数据 的 完整 性 。 

随 着 计算 机 网 络 通信 技术 的 飞速 发 展 , 信 息 隐 藏 技术 作为 新 一 代 的 信息 安全 技术 也 很 
快 地 发 展 起 来 。 加 密 虽 然 隐藏 了 消息 内 容 . 但 同时 也 暗示 了 攻击 者 所 截获 的 信息 是 重要 信 
息 ,从 而 引起 攻击 者 的 兴趣 ,攻击 者 在 破译 失败 的 情况 下 将 信息 破坏 掉 ; 而 信息 隐藏 是 将 有 
用 的 信息 隐藏 在 其 他 信息 中 ,使 攻击 者 无 法 发 现 ,不 仅 能 够 保护 信息 ,也 能 够 保护 通信 本 身 ， 
因此 信息 隐藏 不 仅 隐 藏 了 消息 内 容 而 且 还 隐藏 了 消息 本 身 。 虽 然 至 今 , 信 息 加 密 仍 是 保障 
信息 安全 的 最 基本 的 手段 ,但 信息 隐藏 作为 信息 安全 领域 的 一 个 新 的 方向 ,对 其 的 研究 越 来 
越 受 到 人 们 的 重视 。 


1.5.2 信息 认证 技术 


在 信息 系统 中 ,安全 目标 的 实现 除了 保密 技术 外 ,还 有 一 个 重要 方面 就 是 认证 技术 。 认 
证 技术 主要 用 于 防治 对 手 对 系统 进行 的 主动 攻击 ,如 伪装 、 帘 扰 等 ,这 对 于 开放 环境 中 的 各 
种 信息 系统 的 安全 性 尤为 重要 。 认 证 的 目的 有 两 个 方面 ,一 是 验证 信息 的 发 送 者 是 合法 的 
而 不 是 冒充 的 , 即 实 体 认证 ,包括 信 源 、 信 宿 的 认证 和 识别 ; 二 是 验证 的 消息 的 完整 性 ,验证 
数据 在 传输 和 存储 过 程 中 是 否 被 自 改 、 重 放 或 延迟 等 。 

数字 签名 在 身份 认证 ,数据 完整 性 以 及 不 可 和 否认 性 等 方面 有 重要 作用 ,是 实现 信息 认证 
的 重要 工具 。 数 字 签 名 与 日 常 的 手写 签名 效果 一 样 , 可 以 为 仲裁 者 提供 发 信者 对 消息 签名 
的 证 据 , 而 且 能 使 消息 接收 者 确认 消息 是 否 来 自 合法 方 。 签 名 过 程 是 利用 签名 者 的 私有 信 
息 作 为 密 钥 ,或 对 数据 单元 进行 加 密 , 或 产生 该 数据 单元 的 密码 校 验 值 ; 验证 过 程 是 利用 公 
开 的 规程 和 信息 来 确定 签名 是 否 利用 该 签名 者 的 私有 信息 产生 的 ,但 并 不 能 推出 签名 者 的 
私有 信息 。 

数据 完整 性 保护 用 于 防止 非法 算 改 ,利用 密码 理论 的 完整 性 保护 能 够 很 好 地 对 付 非法 
算 改 。 完 整 性 的 男 一 作用 是 提供 不 可 抵赖 服务 , 当 消 息 源 的 完整 性 可 以 被 验证 却 无 法 模仿 
时 , 收 到 信息 的 一 方 可 以 认定 信息 的 发 送 者 ,数字 签名 就 可 以 提供 这 种 手段 。 数 据 完整 性 有 
两 个 方面 : 数据 单元 的 完整 性 和 数据 单元 序列 的 完整 性 。 数 据 单元 的 完整 性 是 指 组 成 一 个 
单元 的 一 段 数据 不 被 破坏 或 自 改 。 保 证 单元 数据 完整 性 的 一 般 做 法 是 发 送 方 在 有 数据 签名 
的 文件 上 用 哈 希 函数 产生 一 个 标记 ,接收 方 在 收 到 文件 后 ,也 用 相同 的 哈 希 函数 进行 处 理 。 
如 果 接 收 方 与 发 送 方 生成 的 标记 相同 ,就 可 以 确定 在 传输 过 程 中 数据 没有 被 修改 过 , 即 数据 
的 完整 性 得 以 保持 。 数 据 单元 序列 的 完整 性 是 指 发 送 方 在 发 送 数据 前 ,应 将 数据 分 割 为 按 
序列 号 编排 的 许多 数据 单元 , 待 数据 传输 到 接收 方 时 还 能 按照 原 有 的 序列 ,保持 序列 号 的 连 
续 性 和 时 间 标 记 的 正确 性 。 这 样 ,就 可 以 防止 丢失 、 重 复 、 乱 序 或 假冒 数据 单元 等 情况 发 生 。 

数据 签名 机 制 是 对 加 密 机 制 和 数据 完整 性 机 制 的 重要 补充 ,也 是 解决 网 络 通信 安全 问 
题 的 有 效 方法 。 数 字 签 名 机 制 解决 了 下 列 问题 。Q 否 认 。 发 送 方 事后 否认 自己 曾 发 送 过 某 
文件 。 接 收 方 否 认 自 己 曾 接收 过 某 文件 。@@ 伪 造 。 接 收 方 伪造 一 份 文件 ,声称 文件 来 自发 
送 方 。 加 冒充。 网 上 某 个 用 户 冒 充 别人 的 身份 收发 信息 。@ 轿 自 改 。 接 收 方 私自 更 改 发 送 方 
发 出 的 信息 内 容 。 数 据 签名 机 制 保证 数据 来 源 的 真实 性 .通信 实体 的 真实 性 、 抗 否认 性 、 数 
据 完整 性 和 不 可 重用 性 。 

鉴别 交换 机 制 是 通过 互相 交换 信息 的 方式 来 确认 彼此 的 身份 。 鉴 别 交换 技术 有 多 种 ， 
常见 方法 有 3 类 。 加 口令 鉴别 。 发 送 方 提供 口令 (Password) 以 证 明 自 己 的 身份 ,接收 方 根 
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据 口令 以 检测 对 方 的 身份 。 加 数据 加 密 鉴别 。 将 交换 的 数据 加 密 后 进行 传送 ,只 有 合法 用 
户 才能 通过 自己 掌握 的 密 钥 解密 ,得 出 明文 并 确认 发 送 方 是 掌握 另 一 个 密 钥 的 人 。 通 常 , 数 
据 加 密 与 握手 协议 数字 签名 和 PKI 等 结合 使 用 ,使 得 身份 鉴别 更 加 可 靠 。@@ 实 物 属性 鉴 
别 。 利 用 通信 双方 的 固有 特征 或 所 拥有 的 实物 属性 进行 身份 鉴别 ,例如 指纹 、 声 谱 识 别 、 身 
份 卡 识别 。 

身份 认证 是 一 门 新 兴 的 理论 ,是 现代 密码 学 发 展 的 重要 分 支 。 身 份 认证 是 信息 安全 的 
基本 机 制 ,通信 的 双方 之 间 应 相互 认证 对 方 的 身份 ,以 保证 赋予 正确 的 操作 权限 和 数据 的 存 
取 控 制 。 网 络 也 必须 认证 用 户 的 身份 ,以 保证 合法 的 用 户 进行 正确 的 操作 并 进行 正确 的 审 
计 。 通 常 有 三 种 方法 验证 主体 身份 : 一 是 只 有 该 主体 了 解 的 秘密 ,如 口令 、 密 钥 ; 二 是 主体 
携带 的 物品 ,如 智能 卡 和 令 牌 卡 ; 三 是 只 有 该 主体 具有 独一无二 的 特征 和 能 力 , 如 指纹 、 声 
音 、 视 网 膜 或 签字 等 。 


1.5.3 访问 控制 技术 


访问 控制 是 网 络 安全 防范 和 保护 的 重要 手段 ,是 信息 安全 的 一 个 重要 组 成 部 分 。 访 问 
控制 涉及 主体 、 客 体 和 访问 策略 ,三 者 之 间 关 系 的 实现 构成 了 不 同 的 访问 模型 ,访问 控制 模 
型 是 探讨 访问 控制 实现 的 基础 ,针对 不 同 的 访问 控制 模型 会 有 不 同 的 访问 控制 策略 ,访问 
控制 策略 的 制定 应 该 符合 安全 原则 。 访 问 控制 机 制 是 按 事先 确定 的 规则 防止 未 经 授权 
的 用 户 或 用 户 组 非法 使 用 系统 资源 。 当 一 个 用 户 企图 非法 访问 未 经 授权 的 资源 时 ,系统 
访问 控制 机 制 将 拒绝 这 一 企图 ,并 向 审计 系统 报告 ,审计 系统 发 出 报警 并 形成 部 分 追踪 
审计 日 志 。 

访问 控制 的 主体 能 够 访问 与 使 用 客体 的 信息 资源 的 前 提 是 主体 必须 获得 授权 ,授权 与 
访问 控制 密 不 可 分 。 访 问 控制 可 分 为 自主 访问 控制 和 强制 访问 控制 两 大 类 。 自 主 访问 控 
制 ,是 指 用 户 有 权 对 自身 所 创建 的 访问 对 象 (文件 .数据 表 等 ) 进 行 访 问 , 并 可 将 对 这 些 对 象 
的 访问 权 授予 其 他 用 户 和 从 授予 权限 的 用 户 收 回 其 访问 权限 ; 强制 访问 控制 ,是 指 由 系统 
(通过 专门 设置 的 系统 安全 员 ) 对 用 户 所 创建 的 对 象 进行 统一 的 强制 性 控制 ,按照 规定 的 规 
则 决定 哪些 用 户 可 以 对 哪些 对 象 进行 什么 样 的 操作 系统 类 型 访问 ,即使 是 创建 者 用 户 ,在 创 
建 一 个 对 象 后 ,也 可 能 无 权 访 问 该 对 象 。 

审计 是 访问 控制 的 重要 内 容 与 补充 ,可 以 对 用 户 使 用 何 种 信息 资源 ,使 用 的 时 间 以 及 如 
何 使 用 进行 记录 与 监控 。 审 计 的 意义 在 于 客体 对 其 自身 安全 的 监控 ,便于 查 漏 补缺 ,追踪 异 
常事 件 , 从 而 达到 威慑 和 追踪 不 法 使 用 者 的 目的 。 访 问 控 制 的 最 终 目的 是 通过 访问 控制 策 
略 显 式 地 准许 或 限制 主体 的 访问 能 力 及 范围 ,从 而 有 效 地 限制 和 管理 合法 用 户 对 关键 资源 
的 访问 ,防止 和 追踪 非法 用 户 的 侵入 以 及 合法 用 户 的 不 慎 操 作 等 行为 对 权威 机 构 所 造成 的 
破坏 。 

1.5.4 信息 安全 监测 

入 侵 检测 技术 作为 一 种 网 络 信息 安全 新 技术 ,对 网 络 进行 检测 ,提供 对 内 部 攻击 、 外 部 
攻击 和 误 操 作 的 实时 监测 以 及 采取 相应 的 防护 手段 ,如 记录 证 据 用 于 跟踪 、 恢 复 和 断 开 网 络 
连接 。 

入 侵 检 测 系 统 (Intrusion Detection System,IDS) 是 从 计算 机 网 络 系统 中 的 若干 关键 点 
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收集 信息 并 对 其 进行 分 析 ,检查 网 络 中 是 否 有 违反 安全 策略 的 行为 和 唱 到 袭击 的 迹象 。 将 
收集 完成 人 侵 检测 功能 的 软件 和 硬件 进行 组 合 便 是 入 侵 检测 系统 。 与 其 他 安全 产品 不 同 的 
是 ,入 侵 检测 系统 需要 更 多 的 智能 , 它 必须 可 以 对 得 到 的 数据 进行 分 析 , 并 得 出 有 用 的 结果 。 
一 个 合格 的 入侵 检测 系统 能 大 大 地 简化 管理 员 的 工作 ,保证 网 络 安全 地 运行 。 

随 着 入 侵 检测 技术 的 发 展 ,到 目前 为 止 出 现 了 很 多 入 侵 检 测 系 统 , 不 同 的 检测 系统 具有 
不 同 的 特征 。 根 据 不 同 的 分 类 标准 ,入 侵 检测 系统 可 以 分 为 不 同 的 类 别 。 按 照 信息 源 划分 
和 人 侵 检测 系统 是 目前 最 通用 的 方法 。 入 侵 检测 系统 主要 分 为 两 类 ,基于 网 络 的 IDS 和 基于 
主机 的 IDS。 

入 侵 检 测 技术 是 主动 保护 自己 免 受 攻击 的 一 种 网 络 安全 技术 ,能 够 帮助 系统 对 付 网 络 
攻击 ,扩展 系统 管理 员 的 安全 管理 能 力 (包括 安全 审计 、 监 视 、 攻 击 识别 和 响应 ) ,提高 信息 安 
全 基础 结构 的 完整 性 。IDS 的 主要 功能 : 监控 、 分 析 用 户 和 系统 的 活动 ; 系统 构造 及 其 安全 
漏洞 的 审计 ; 识别 人 侵 的 活动 模式 并 向 网 络 管理 员 报警 ; 对 异常 活动 的 统计 分 析 ; 操作 系 
统 的 审计 跟踪 管理 ,识别 别 违 反 安 全 策略 的 用 户 行为 ; 评估 关键 或 重要 系统 及 其 数据 文件 
的 完整 性 。 


1.5.5 信息 内 容 安全 


信息 内 容 安全 主要 是 信息 安全 在 政治 法律 .道德 层次 上 的 要 求 。 我 们 要 求 信 息 内 容 是 
安全 的 ,就 是 要 求 信息 内 容 在 政治 上 是 健康 的 ,在 法 律 上 是 符合 国家 法 律 法 规 的 ,在 道德 上 
是 符合 中 华 民 族 优良 的 道德 规范 的 。 

信息 内 容 安全 是 指 对 信息 在 网 络 内 流动 中 的 选择 性 阻 断 , 以 保证 信息 流动 的 可 控 能 力 。 
在 此 ,被 阻 断 的 对 象 可 以 是 通过 内 容 判断 出 来 的 可 对 系统 造成 威胁 的 脚本 病毒 ; 因 无 限制 
扩散 而 导致 消耗 用 户 资源 的 垃圾 类 邮件 ; 导致 社会 不 稳定 的 有 害 信息 ; 等 等 。 主 要 涉及 信 
息 的 机 密 性 、 真 实 性 、 可 控 性 、 可 用 性 、 完 整 性 、 可 靠 性 等 ; 所 面 对 的 难题 包括 信息 不 可 识别 
( 因 加 密 )、 信 息 不 可 更 改 、 信 息 不 可 阻 断 、 信 息 不 可 替换 、 信 息 不 可 选择 、 系 统 不 可 控 等 ; 主 
要 的 处 置 手段 是 密 文 解析 或 形态 解析 、 流 动 信息 的 裁剪 .信息 的 阻 断 、 信 息 的 替换 ,信息 的 过 
滤 、 系 统 的 控制 等 。 


1.6 信息 安全 管理 


信息 系统 的 安全 管理 目标 是 管 好 信息 资源 安全 ,信息 安全 管理 是 信息 系统 安全 的 重要 
组 成 部 分 ,管理 是 保障 信息 安全 的 重要 环节 ,是 不 可 或 缺 的 。 信 息 安全 管理 主要 涉及 人 事 管 
理 、 设 备 管理 ,场地 管理 ,存储 媒体 管理 .软件 管理 .网 络 管理 密码 和 和 密 钥 管理 几 个 方面 。 信 
息 安全 管理 应 遵循 的 原则 为 规范 原则 、 预 防 原则 、 立 足 国内 原则 、 选 用 成 熟 技 术 原 则 、 系 统 化 
原则 ,均衡 防护 原则 ,分 权 制 衡 原则 、 应 急 原则 和 灾难 恢复 原则 。 信 息 安全 管理 贯穿 于 信息 
系统 规划 、 设 计 、 建 设 、 运 行 、 维 护 等 各 个 阶段 ,内 容 十 分 广泛 。 

信息 系统 的 安全 管理 目标 是 管 好 信息 资源 安全 ,信息 安全 管理 是 信息 系统 安全 的 重要 
组 成 部 分 ,是 保障 信息 安全 的 重要 环节 。20 世纪 90 年 代 , 信 息 安全 管理 步 信 了 标准 化 与 系 
统 化 管理 时 代 。2000 年 ,国际 化 标准 组 织 公布 了 全 球 第 一 个 信息 安全 管理 国际 标准 ISO/ 
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IEC 7799 标准 。2004 年 ,我 国 启动 了 全 国信 息 安全 标准 化 技术 委员 会 ,启动 了 信息 安全 
管理 工作 组 (WG7) ,已 发 布 了 一 些 信 息 安 全 管理 国家 标准 。 我 国 下 一 步 将 围绕 信息 安全 
等 级 保护 、 信 息 安 全 管理 体系 标准 族 、 信 息 安 全 应 急 与 灾 备 .信息 安全 服务 管理 四 方面 
展开 。 

信息 安全 管理 体系 (Information Security Management System,ISMS) 是 1998 年 前 后 
站 一 个 新 概念 ,是 管理 体系 (Management System,MS) 
思想 想 和 方法 在 信息 安全 领域 的 应 用 。 近 年 来 ,伴随 着 ISMS 国际 标准 的 修订 ,ISMS 迅速 被 
全 球 接受 和 认可 ,成 为 世界 各 国 、 各 种 类 型 .各 种 规模 的 组 织 解决 信息 安全 问题 的 一 个 有 效 
方法 。ISMS 认证 随 之 成 为 组 织 向 社会 及 其 相关 方 证 明 其 信息 安全 水 平和 能 力 的 一 种 有 效 

信息 安全 管理 体系 是 组 织 机 构 单 位 按照 信息 安全 管理 体系 相关 标准 的 要 求 , 制 定 信息 
安全 管理 方针 和 策略 ,采用 风险 管理 的 方法 进行 信息 安全 管理 计划 实施、 评审 检查、 改进 
的 信息 安全 管理 执行 的 工作 体系 。 信 息 安全 管理 体系 是 按照 ISO/IEC 27001 标准 《信息 技 
术 安全 技术 信息 安全 管理 体系 要 求 ) 的 要 求 建立 的 ,ISO/IEC 27001 标准 是 由 BS 7799 一 2 
标准 发 展 而 来 的 。 

信息 安全 管理 体系 ISMS 是 建立 和 维持 信息 安全 管理 体系 的 标准 ,标准 要 求 组 织 通 
确定 信息 安全 管理 体系 范围 .制定 信息 安全 方针 、 明 确 管理 职责 epee 
制 目 标 与 控制 方式 等 活动 建立 信息 安全 管理 体系 ; 体系 一 日 建 立 和 内应 扶 休 系 规定 的 台 冰 
进行 运作 ,保持 体系 运作 的 有 效 性 ; 信息 安全 管理 体系 应 形成 一 定 的 文件 , 即 组 织 应 建立 并 
保持 一 个 文件 化 的 信息 安全 管理 体系 ,其 中 应 阐述 被 保护 的 资产 ,组织 风险 管理 的 方法 、 控 
制 目标 及 控制 方式 和 需要 的 保证 程度 。 

作为 目前 国际 上 具有 代表 性 的 信息 安全 管理 体系 标准 ,ISO 27001 已 在 世界 各 地 的 政 
府 机 构 .银行 .证 券 . 保 险 公 司 . 电 信和 运营 商 、 网 络 公司 及 许多 跨国 公司 得 到 了 广泛 应 用 ,该 标 
准 重新 定义 了 对 信息 安全 管理 体系 (ISMS) 的 要 求 , 旨 在 帮助 企业 确保 有 足够 并 具有 针对 性 
的 安全 控制 选择 。 通 过 信息 安全 管理 体系 的 建立 、 运 行 和 改进 ,可 以 进一步 规范 企业 相关 的 
信息 管理 工作 ,从 而 确保 企业 云 计算 服务 的 安全 问题 。 

此 外 ,开展 ISO 27001 的 培训 也 是 十 分 必要 的 ,而 且 要 从 不 同 的 层面 开展 针对 性 的 培 
训 。 首 先 , 需 要 开展 管理 层 的 培训 ,让 管理 者 对 信息 安全 管理 体系 有 一 个 初步 的 了 解 ,让 领 
导 们 初步 了 解 信息 安全 管理 体系 的 理念 和 作用 ,因为 信息 安全 体系 架构 的 实施 和 运行 ,会 跨 
越 不 同 的 部 门 , 在 部 门 与 部 门 的 协调 上 ,就 需要 上 层 领导 的 协调 了 。 此 外 ,让 各 部 门 主 要 信 
息 安全 专员 参与 标准 的 内 审 培训 ,从 而 让 内 审 员 认识 信息 安全 体系 应 该 做 哪些 工作 ,哪些 是 
重点 工作 ,并 且 在 培训 中 进行 讨论 ,形成 统一 的 认识 。 

通过 实施 ISO 27001 信息 安全 管理 体系 ,将 为 企业 带 来 多 方面 的 益处 ,包括 : 证 明 企 业 
内 部 控制 具备 独立 保障 ,并 满足 公司 信息 管理 和 业务 连续 性 要 求 ; 独立 证 明 已 遵守 各 项 适 
用 法 律 法 规 ; 通过 满足 合同 要 求 以 提供 竞争 优势 ,并 向 客户 展示 其 云 计算 安全 已 受到 保护 ; 
在 使 信息 安全 流程 程序 和 文件 材料 正式 化 的 同时 ,能 够 独立 地 证 明 您 的 云 服 务 相关 风险 已 
得 到 妥善 识别 .评估 和 管理 ; 证 明 高 级 管理 层 对 其 信息 安全 的 承诺 ; 定期 的 评估 流程 有 助 
于 不 断 监控 企业 的 绩效 并 最 终 得 到 改善 
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慨 训 1 查阅 资料 ,图 1-3 中 SSL 的 作用 是 什么 ? 


py 类 A 表 


© saa 手机 号 登录 cm 
账 号 lqqqqqq @126.com 
因 码 leseeeeee 瑟 ia 宅 码 ? 
乒 本 左 认 习 


三 两 则 内 自动 中 录 《7 SSLR 全 生 孙 ) 


全 录 | | 注册 


图 1-3 邮件 登录 界面 
忌 训 2 ”查阅 资料 ,图 1-4 中 小 锁 作 用 是 什么 ? 


从 中 国 建设 银行 个 人 网 上 银行 Internet Erplorer 


(CSS 


] 文件 四 况 铝 如 ”查看 收藏 天 工具 I) 表 助 OD 
5 各 天 | 看 中 国 建设 根 行 个 人 网 上 银行 | 人 前- 国 -两 。m 枯 中- 安全 个- IRO- 加 - 


迎 使 用 个 人 网 上 银行 


证 件 号 碍 或 用 户 电 条 用 户 蚂 入 指 您 丰 网上 概 行 “客户 服务 ” 荣 单 
设置 的 专用 名 称 。 左 记 昵称 ?了 


加 果 闪 ， 请 点 
登录 密码 : 园 欢 记名 te ed 请 点 击 左 侧 键盘 

上 看 不 清 换 一 张 
说 验证 码 ， df 2hv 
说 ' 
天 1 
是 登录 
受 


= 


1 | 


图 1-4 中 国 建设 银行 网 络 银行 登录 界面 


吝 训 3 熟悉 网 络 环境 
实 训 目 的 : 掌握 局 域 网 的 特性 ,熟悉 局 域 网 的 几 种 拓扑 结构 ,比较 它们 各 自 的 特点 ; 初 
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步 理解 TCP/IP; 学 会 使 用 TCP/IP 常用 命令 ,能 通过 使 用 相关 命令 进行 网 络 连接 测试 与 故 
障 排除 。 

实 训 准 备 : 熟悉 常用 的 网 络 命 令 。 

(1) ipconfig 命令 。 配 置 TCP/IP 后 ,可 以 使 用 ipconfig 命令 来 验证 主机 上 的 TCP/IP 
配置 参数 ,这 包括 验证 IP 地 址 、 子 网 掩 码 和 默认 网 关 。 

(2) ping 命令 。ping 命令 用 来 测试 本 机 的 TCP/IP 的 配置 ,检测 数据 包 到 达 目 的 主机 
的 可 能 性 ,以 及 其 他 运行 TCP/IP 的 主机 和 网 络 的 连接 状况 。 

(3) arp 命令 。arp 命令 用 来 查看 同一 物理 网 络 上 特定 IP 地 址 对 应 的 网 卡 地 址 。 

(4) net 命令 。net 命令 功能 十 分 强大 ,可 用 来 查看 计算 机 上 用 户 列表 、 添 加 和 删除 用 
户 ,与 对 方 计算 机 建立 连接 、 起 动 或 停止 某 网 络 服务 等 。 

(5) nslookup 命令 。nslookup 命令 用 来 监测 网 络 中 DNS 服务 器 是 否 能 正确 实现 域名 
解析 。 

(6) netstat 命令 。netstat 是 一 种 显示 网 络 连 接 和 有 关 协 议 的 统计 信息 工具 ,主要 用 于 
了 解 网 络 接口 的 状况 ,程序 表 的 状况 ,协议 类 的 统计 信息 显示 等 内 容 。 

实 训 内 容 : 熟悉 局 域 网 的 部 署 。 

(1) 参观 机 房 的 网 络 架 构 , 了 解 网 络 的 拓扑 结构 、 硬 件 .操作 系统 和 协议 等 方面 的 问题 。 
记录 有 关 方 面 的 内 容 , 画 出 网 络 拓扑 结构 示意 图 。 

(2) 熟悉 网 络 配 置 的 基本 属性 ,以 及 网 络 的 通信 协议 。 通 过 “我 的 电脑 ”一 “控制 面 
板 ”>“ 网 络 ”>“ 配 置 选项 卡 ”, 查 看 本 地 计算 机 所 安装 的 网 络 组 件 , 记 录 下 各 组 件 的 内 容 , 并 
了 解 各 组 件 的 作用 。 

(3) 了 解 局 域 网 的 网 卡 、 集 线 器 等 网 络 传输 介质 和 交换 机 、 网 桥 、 路 由 器 、 网 关 等 网 络 互 
连 设备 。 

(4) 区 分 共享 式 网 络 和 交换 式 网 络 。 

(5) 练习 网 络 常用 命令 ,分 别 查 看 网 络 连 通 情 况 , 显 示 本 机 所 有 网 络 接口 的 IP 配置 信 
息 , 显 示 网 卡 的 物理 地 址 ,显示 本 机 arp 缓冲 区 中 存放 的 内 容 。 

实 训 报告 : 验证 网 络 命 令 的 使 用 方法 。 

(1) 按 要 求 填写 实验 内 容 中 需要 记录 的 内 容 。 

(2) 先 打开 IE 浏览 器 ,登录 www.ip. cn, 这 是 一 个 IP 地址 归属 地 的 查询 网 址 。 接 着 在 
“开始 ”一 运行 ?下 输入 CMD, 在 后 面 的 黑色 窗口 中 输入 nslookup 一 空格 二 www. taobao. 
com 去 回 车 之 ,把 *Address: ”后面 那 串 数字 复制 到 刚才 那个 网 页 里 进行 查询 ,填写 你 看 到 的 
结果 。 

(3) 通过 国际 标准 的 查询 方法 查找 阿里 巴巴 淘宝 网 的 注册 地 址 。 在 正 地 址 栏 输入 
http://whois. webhosting. info/TAOBAO. COM, 同 样 地 ,把 “IP Addresses: 121. 14. 24. 241” 中 
的 IP 地 址 复制 到 IP. CN 上 查询 ,填写 你 看 到 的 结果 。 
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对 于 信息 系统 的 威胁 和 攻击 ,依据 受 攻击 对 象 可 分 为 两 类 : 一 类 是 对 信息 系统 实体 的 
威胁 和 攻击 ; 另 一 类 是 对 信息 资源 的 威胁 和 攻击 。 一 般 来 说 ,对 网 络 实体 的 威胁 和 攻击 主 
要 是 指 对 计算 机 及 其 外 部 设备 .场地 环境 和 网 络 通信 线路 的 威胁 和 攻击 ,致使 场地 环境 遭受 
破坏 .设备 损坏 ,电磁场 的 干扰 和 泄露 .通信 中 断 、 各 种 媒体 的 被 盗 和 失散 等 。 本 章 介绍 物理 
安全 的 一 些 基本 概念 ,重点 介绍 安全 管理 的 重要 性 、 物 理 安全 涉及 的 内 容 和 物理 安全 的 技术 


2.1 物理 安全 概述 


物理 安全 是 整个 计算 机 网 络 系统 安全 的 前 提 , 是 保护 计算 机 网 络 设备 .设施 以 及 其 他 媒 
体 免 遭 地 震 、 水 灾 、 火 灾 等 环境 事故 、 人 为 操作 失误 或 各 种 计算 机 犯罪 行为 导致 的 破坏 的 过 
程 。 物 理 安全 主要 考虑 的 问题 是 环境 .场地 和 设备 的 安全 及 物理 访问 控制 和 应 急 处 置 计划 
等 。 物 理 安 全 在 整个 计算 机 网 络 信息 系统 安全 中 占有 重要 地 位 。 它 主要 包括 以 下 几 个 方 
面 : 机 房 环 境 安全 ,通信 线路 安全 ,设备 安全 .电源 安全 。 

可 采取 以 下 措施 保证 物理 安全 。 

1. 保证 机 房 环境 安全 

信息 系统 中 的 计算 机 硬件 、 网 络 设施 以 及 运行 环境 是 信息 系统 运行 的 基础 。 要 从 以 下 
三 个 方面 考虑 : 自然 灾害 ,物理 损坏 和 设备 故障 ,电磁 辐射 、 乘 虚 而 入 、 痕 迹 汇 漏 等 ,操作 失 
误 ,意外 政 漏 等 。 

2. 选用 合适 的 传输 介质 

屏蔽 式 双 绞 线 的 抗 干扰 能 力 更 强 , 且 要 求 必须 配 有 支持 屏蔽 功能 的 连接 器 件 和 要 求 介 
质 有 良好 的 接地 (最 好 多 处 接地 ) ,对 于 干扰 严重 的 区 域 应 使 用 屏蔽 式 双 绞 线 , 并 将 其 放 在 金 
属 管内 以 增强 抗 干 扰 能 力 。 光 纤 是 超 长 距离 和 高 容量 传输 系统 最 有 效 的 途径 ,从 传输 特 
性 等 分 析 , 无 论 何 种 光纤 都 有 传输 频带 宽 、 速 率 高 ,传输 损耗 低 、 传 输 距离 远 , 抗 雷电 和 电 
磁 的 干扰 性 好 、 保 密 性 好 ,不 易 被 穷 听 或 被 截获 数据 、 传 输 的 误 码 率 很 低 , 可 靠 性 高 ,体积 
小 和 重量 轻 等 特点 。 与 双 绞 线 或 同 轴 电 缆 不 同 的 是 光纤 不 辐射 能 量 , 能 够 有 效 地 阻止 
穷 听 。 

3. 保证 供电 安全 可 靠 

计算 机 和 网 络 主干 设备 对 交流 电源 的 质量 要 求 十 分 严格 ,对 交流 电 的 电压 和 频率 ,对 电 
源 波形 的 正弦 性 ,对 三 相 电 源 的 对 称 性 ,对 供电 的 连续 性 、 可 靠 性 、 稳 定性 和 抗 干 扰 性 等 各 项 
指标 ,都 要 求 保持 在 允许 偏差 范围 内 。 机 房 的 供 配 电 系 统 设 计 既 要 满足 设备 自身 运转 的 要 
求 ,又 要 满足 网 络 应 用 的 要 求 , 必 须 做 到 保证 网 络 系统 运行 的 可 靠 性 ,保证 设备 的 设计 寿命 ， 
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保证 信息 安全 ,保证 机 房 人 员 的 工作 环境 。 
物理 安全 包括 实体 安全 和 环境 安全 (如 图 2-1 所 


示 ) ,它们 是 研究 如 何 保护 网 络 与 信息 系统 物理 设备 , 主 
要 涉及 网 络 与 信息 系统 的 机 密 性 .可 用 性 .完整 性 等 属 
性 。 物 理 安全 技术 则 用 来 解决 两 个 方面 问题 ,一 方面 是 一 
针对 信息 系统 实体 的 保护 ; 另 一 方面 针对 可 能 造成 信 | 防火 区 二 各 


息 泄漏 的 物理 问题 进行 防范 。 因 此 物理 安全 技术 应 该 | 防 雷击 人 
包括 防盗 、 防 火 . 防 静电 、 防 雷击 、 防 信息 泄漏 .物理 隔离 。\、 

等 安全 技术 。 另 外 ,基于 物理 环境 的 容 灾 技术 和 物理 隔 
离 技术 也 属于 物理 安全 技术 范畴 。 物 理 安全 是 信息 安 
全 的 必要 前 提 , 如 果 不 能 保证 信息 系统 的 物理 安全 ,其 
他 一 切 安全 内 容 均 没有 意义 。 图 21 物理 安全 的 内 洒 


2.2 安全 管理 的 重要 性 


安全 是 一 个 整体 ,完整 的 安全 解决 方案 不 仅 包括 物理 安全 ,系统 安全 技能 和 应 用 安全 等 
技术 手段 ,还 需要 以 人 为 核心 的 策略 和 管理 支持 。 物 理 安全 重要 的 往往 不 是 技术 手段 ,而 是 
人 为 主导 的 管理 手段 。 这 里 需要 谈 到 安全 遵循 的 “ 木 桶 原理 ”, 即 一 个 木 桶 的 容积 决定 于 最 
短 的 一 块 木板 ,一 个 系统 的 安全 设置 取决 于 最 薄弱 环节 的 安全 强度 。 无 论 采用 了 多 么 先进 
的 技术 设备 ,只 要 安全 管理 上 有 漏洞 ,那么 这 个 系统 的 安全 一 样 没有 保障 。 例 如 ,设置 电子 
邮箱 或 银行 卡 口 令 太 简单 ,非常 容易 遭 黑客 攻击 。 

据 大 众 网 报道 ,2013 年 10 月 29 日 下 午 ,衢州 市 民 杨 某 一 直 采 用 123456 作为 银行 卡 密 
码 , 杨 某 在 丽水 市 区 一 ATM 上 取款 后 ,把 卡 遗 留 在 了 ATM 中 。 陶 某 发 现 了 这 张 卡 ,到 另 
一 台 ATM 上 开始 尝试 输入 口令 ,输入 123456 后 , 竞 顺利 通过 了 验证 ,从 卡 中 取 走 了 9 千 
元 。 儿 乎 同一 时 间 , 杨 某 发 现 了 信用 卡 遗 失 , 他 想 着 “反正 有 口令 ”, 打 算 等 第 二 天 再 去 银行 
挂失 , 没 想 到 取款 的 短信 提示 连续 传 来 ,赶紧 向 公安 报警 ,两 天 后 警方 将 陶 某 逮捕 归案 。 这 
就 是 人 类 天 生 有 “ 玲 忽 基因 ”所 致 ,现在 人 们 应 该 严肃 对 待 口 令 安 全 问题 。 事 实 上 ,在 现实 生 
活 中 ,信息 安全 的 问题 不 仅 出 现在 技术 上 ,更 多 出 现在 安全 管理 方面 。 


案 倒 1: 圳 昌 网 吧 火 灾 


2013 年 4 月 14 日 宕 6 时 左右 ,湖北 省 陡 阳 市 攀 城 区 前 进 东 路 一 景 城市 花园 酒店 发 生 
火灾 ,大 火 直 至 8 时 50 分 才 被 扑灭 。 据 悉 ,大火 从 二 楼 网 吧 烧 起 ,一 直 草 延 到 整个 酒店 ,如 
图 2-2 所 示 。 当 晚 酒店 有 67 名 客人 住宿 ,网 吧 有 25 人 在 线 ,火灾 发 生 后 ,部 分 客人 逃 出 了 
酒店 , 另 有 部 分 被 消防 官兵 救出 。 共 造成 伤亡 61 人 ,其 中 14 人 遇难 。 消 防 部 门 指出 ,起 火 
的 网 吧 是 2 楼 ,一 整 层 共 有 9 个 窗口 ,在 临街 的 一 层 . 通 往 网 吧 的 楼 道 是 一 个 狭 窗 的 门 ,里 面 
有 100 多 台 计 算 机 ; 起 火 原因 是 选 址 不 当 , 安 全 通道 不 畅 ,网 吧 有 限 空间 上 百 台 计算 机 长 时 
间 使 用 ,计算 机 元 件 大 量 放 热 造成 电线 短路 。 
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2-2 襄阳 网 吧 火 灾 现 场 


案 倒 2: 网 络 话 骗 案 


2013 年 末 , 互 联网 理财 从 各 种 互联 网 产品 中 突围 而 出 成 为 行业 焦点 ,各 大 互联 网 公司 
纷纷 推出 天 作 下 于 全 吾 和 节 攀 升 。 本 案例 介绍 一 种 叫做 PDT 新 概念 理财 的 网 络 
诈骗 ,此 种 理财 相当 于 炒股 ,是 一 种 稳 赚 不 赔 的 游戏 股 ,用 户 投资 购买 股票 , 靠 股 票 升 值 获 
利 。 投 资 分 为 不 同 档次 ,从 3500 元 到 数 万 元 不 等 ,用 户 可 以 随时 取现 ,但 每 次 只 能 取出 投入 
金额 的 70%, 剩 下 的 30% 必 须 留 下 继续 投资 ,而 且 取 出 的 70% 需 要 另外 收取 20% 的 手 
续费 。 

杭州 苏 某 选择 了 3500 元 这 个 档次 ,由 于 取现 被 扣除 手续 费 不 划算 ,至 今 都 没有 动 过 投 
资 的 3500 元 。 起 初 , 苏 某 及 其 同事 没有 发 现 有 什么 问题 ,直到 三 个 月 前 相关 网 站 登录 选项 
突然 消失 ,无 法 进行 登录 ,他 们 才 感 觉 有 些 蹊跷 。 之 后 , 苏 某 发 现 受 骗 了 。 苏 某 交 了 钱 ,其 他 
的 都 是 对 方 代为 处 理 , 所 以 对 方 没 有 留 下 行 骗 的 任何 证 据 。 

互联 网 金融 产品 被 炒 得 火热 ,而 以 “宝宝 们 ”为 首 的 互联 网 理财 产品 因为 其 低 门槛 、 便 
捷 、 高 流动 性 的 特性 深 得 大 众 青睐 。 在 互联 网 金融 产品 逐渐 成 为 人 们 投资 理财 重要 渠道 的 
同时 , 越 来 越 多 不 法 分 子 也 盯 上 了 互联 网 金融 这 一 新 概念 ,各 种 诈骗 花样 层出不穷 。 如 今 ， 
互联 网 金融 产品 良 劳 不 齐 . 真 假 难 辨 ,理财 产品 低 风 险 高 收益 陷阱 ,金融 类 钓鱼 网 站 、 二 维 码 
钓鱼 网 站 和 非法 集资 非法 发 行 证 券 陷阱 等 各 种 诈骗 陷阱 更 是 如 潮水 般 席 卷 而 来 。 


2.3 物理 安全 涉及 的 内 容 


保证 信息 系统 各 种 设备 的 物理 安全 是 保障 整个 信息 系统 安全 的 前 提 。 物 理 安全 是 保护 
计算 机 网 络 设备 ,设施 及 其 他 媒体 免 遭 地 震 、 水 灾 、 火 灾 等 环境 安全 事故 及 人 为 操作 失误 及 
各 种 计算 机 犯罪 行为 的 破坏 过 程 。 为 确保 计算 机 硬件 和 计算 机 中 信息 的 安全 ,机 房 安 全 是 
最 重要 的 因素 。 设 施 安全 就 是 对 放置 计算 机 系统 的 空间 进行 细致 周密 的 规划 ,确保 计算 机 
设备 的 安全 。 对 计算 机 系统 加 以 物理 上 的 保护 ,尽量 避免 可 能 存在 的 安全 隐患 。 
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1. 机 房 安 全 等 级 
为 了 对 信息 提供 足够 的 保护 ,而 又 不 浪费 资源 ,应 该 根据 计算 机 机 房 的 安全 需求 对 机 房 
划分 不 同 的 安全 等 级 。 相 应 的 机 房 场地 应 提供 相应 的 保护 。 根 据 GB 9361 一 1988 标准 《 计 
算 站 场地 安全 要 求 》, 计 算 机 机 房 的 安全 等 级 划分 为 A、B、C 三 个 基本 类 型 ,如 表格 2-1 所 
示 , 表 中 符号 : 十 表示 有 需求 或 增加 要 求 , 一 表示 无 需求 , * 表示 要 求 。 
表 2-1 计算 机 机 房 安 全 要 求 
C 类 安全 机 房 B 类 安全 机 房 A 类 安全 机 房 


空调 系统 

火灾 报警 及 消防 设施 

防水 

防 静 电 = 
防 雷 击 = 
防 鼠 害 
电磁 波 的 防护 = 


+ 十 十 十 十 十 十 十 十 十 十 
十 * 交 光 冰 冰冰 冰冰 十 十 


另外 ,计算 机 机 房 的 安全 等 级 可 分 为 七 个 级 别 : D1、.Cl1、C2、B1、B2、B3 和 A。 

D1 级 是 计算 机 安全 最 低 一 级 ,整个 计算 机 系统 是 不 可 信任 的 ,硬件 和 操作 系统 很 容易 
被 侵袭 。DI1 级 计算 机 系统 标准 规定 对 用 户 没有 验证 ,任何 人 都 可 以 使 用 。 

C1 级 系统 要 求 硬件 有 一 定 的 安全 机 制 (如 硬件 带 锁 装 置 和 需要 钥匙 才能 使 用 计算 机 
等 ) ,用 户 在 使 用 前 必须 登录 到 系统 。C1 级 系统 还 要 求 具有 完全 访问 控制 的 能 力 , 应 当 允 许 
系统 管理 员 为 一 些 程序 或 数据 设立 访问 许可 权限 。 

C2 级 针对 Cl 级 的 某 些 不 足 之 处 加 强 了 几 个 特性 ,C2 级 引进 了 受 控 访 问 环境 (用 户 权 
限 级 别 ) 的 增强 特性 。 这 一 特性 不 仅 以 用 户 权 限 为 基础 ,还 进一步 限制 了 用 户 执 行 某 些 系 统 
指令 。 授 权 分 级 使 系统 管理 员 能 够 分 用 户 分 组 ,授予 他 们 访问 某 些 程序 的 权限 或 访问 分 级 
目录 。 另 外 ,用 户 权 限 以 个 人 为 单位 授权 用 户 对 某 一 程序 所 在 目录 的 访问 。 

Bl 级 系统 支持 多 级 安全 ,多 级 是 指 这 一 安全 保护 安装 在 不 同 级 别 的 系统 中 (网 络 .应 用 
程序 .工作 站 等 ) , 它 对 敏感 信息 提供 更 高 级 的 保护 。 例 如 ,安全 级 别 可 以 分 为 解密 、 保 密 和 
绝密 级 别 。 

B2 级 安全 要 求 计算 机 系统 中 所 有 对 象 加 标签 ,而 且 给 设备 (如 工作 站 ,终端 和 磁盘 驱动 
器 ) 分 配 安全 级 别 。 如 用 户 可 以 访问 一 台 工 作 站 ,但 可 能 不 允许 访问 装 有 人 员工 资 资料 的 磁 
盘子 系统 。 

B3 级 要 求 用 户 工 作 站 或 终端 通过 可 信任 途径 连接 网 络 系统 ,这 一 级 必须 采用 硬件 来 保 
护 安全 系统 的 存储 区 。 

A 级 是 橙 皮 书 中 的 最 高 安全 级 别 ,这 一 级 有 时 也 称 为 验证 设计 (verified design) 。 与 前 
面 提 到 的 各 级 级 别 一 样 ,这 一 级 包括 了 它 下 面 各 级 的 所 有 特性 。A 级 还 附加 一 个 安全 系统 
受 监视 的 设计 要 求 ,合格 的 安全 个 体 必须 分 析 并 通过 这 一 设计 。 男 外 ,必须 采用 严格 的 形式 


18 信息 安全 基础 


化 方法 来 证 明 该 系统 的 安全 性 。 

2. 机 房 场地 的 环境 选择 

B、C 类 安全 机 房 的 选 址 要 求 : 应 避 开 易 发 生火 灾 、 危 险 程 度 高 的 区 域 ,应 避 开 有 害 气体 
来 源 以 及 存放 腐蚀 、 易 燃 、 易 爆 物 品 的 地 方 ,应 避 开 低洼 .潮湿 、 落 雷 区 域 和 地 震 频繁 的 地 方 ， 
应 避 开 强 振动 源 和 强 噪 音源 ,应 避 开 强 电磁 场 的 干扰 ,应 避免 设 在 建筑 物 的 高 层 或 地 下 室 ， 
以 及 用 水 设备 的 下 层 或 隔壁 ,应 避 开 重 盐 害 地 区 。A 类 安全 机 房 除 上 述 要 求 外 ,还 应 将 其 
置 于 建筑 物 的 安全 区 内 。 

3. 机 房 的 环境 条 件 

机 房 基 本 环境 条 件 包 括 温度 湿度 、 空 气 含 尘 浓度 、 噪 声 和 静电 电磁 干扰 。《 电 子 计算 机 
机 房 设计 规范 》GB 50174 一 1993) 中 ,明确 规定 了 机 房 的 环境 要 求 ,如 表 2-2 所 示 。 主 机 房 
的 温度 ,湿度 应 执行 A 级 ,基本 工作 间 可 根据 设备 要 求 按 A、B 两 级 执行 ,其 他 辅助 房间 应 
按 工 艺 要 求 确定 。 


表 2-2 机 房 温 .湿度 要 求 


A 级 B 级 
项 目 
夏 季 冬季 全 年 
湿度 25 士 2 20 士 2C 18~28'C 
相对 湿度 45%~65% 40%~70% 
温度 变化 率 <5C/h 并 不 得 结 露 二 10'C/h 并 不 得 结 露 


主机 房 内 的 空气 含 尘 浓度 ,在 静态 条 件 下 测试 ,每 升 空气 中 大 于 或 等 于 0. 5pm 的 尘 粒 
数 ,应 少 于 18 000 粒 。 主 机 房 内 的 噪声 ,在 计算 机 系统 停机 条 件 下 ,在 主 操作 员 位 置 测 量 应 
小 于 68dB(A)。 主 机 房 地 面 及 工作 台面 的 静电 泄漏 电阻 ,应 符合 现行 国家 标准 《计算 机 机 
房 用 活动 地 板 技 术 条 件 ) 的 规定 。 主 机 房 内 绝缘 体 的 静电 电位 不 应 大 于 1kV。 

4. 机 房 电 源 

电子 计算 机 机 房 用 电 负荷 等 级 及 供电 要 求 应 按 《 供 配 电 系统 设计 规范 》 的 规定 执行 。 根 
据 机 房 的 重要 性 ,考虑 是 否 双 电源 接 入 ,或 考虑 设置 UPS 室 , 计 算 机 机 房 应 设置 专用 的 动 
力 箱 。 

根据 (电子 计算 机 机 房 设计 规范 ) 的 规定 : 电子 计算 机 供电 电源 质量 根据 电子 计算 机 的 
性 能 、 用 途 和 运行 方式 (是 否 联 网 ) 等 情况 ,可 划分 为 A、B、C 三 级 (供电 电源 质量 见 表 2-3)。 
电子 计算 机 机 房 供 配 电 系统 应 考虑 计算 机 系统 有 扩散 、 升 级 等 可 能 性 ,并 应 预 留 备用 容量 。 


表 2-3 供电 电源 质量 


项 目 A B @ 
稳 态 电压 偏 移 范 围 /% 士 3 二 十 7 一 13 
稳 态 频率 偏 移 范围 /Hz 土 0.2 0:8 士 1 
电压 波形 畸变 率 / % 3 一 5 5 一 8 8 一 10 


允许 断 电 持续 时 间 /ms 0 一 4 4 一 200 200 一 1500 
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2.4 物理 安全 技术 标准 


信息 系统 是 指 基 于 计算 机 和 计算 机 网 络 ,按照 一 定 的 应 用 目标 和 规则 对 信息 进行 采 
集 、 加 工 、 存 储 、 传 输 、 检 索 等 处 理 的 人 机 系统 。 信 息 系统 可 以 看 做 承载 信息 的 各 种 硬件 
设备 ,信息 系统 所 处 的 物理 环境 以 及 由 软件 、 硬 件 构建 而 成 的 信息 系统 这 三 者 相互 作用 
形成 的 有 机 结合 体 。 因 此 ,信息 系统 的 物理 安全 涉及 整个 系统 的 配套 部 件 、 设 备 和 设施 
的 安全 性 能 、 所 处 的 环境 安全 以 及 整个 系统 可 靠 运行 等 方面 ,是 信息 系统 安全 运行 的 基 
本 保障 。 

硬件 设备 的 安全 性 能 直接 决定 了 信息 系统 的 保密 性 、 完 整 性 、 可 用 性 ,如 设备 的 抗 电磁 
干扰 能 力 、 防 电磁 信息 泄露 能 力 、 电 源 保护 能 力 以 及 设备 振动 碰撞、 冲击 适应 性 等 。 信 息 系 
统 所 处 物理 环境 的 优 劣 直接 影响 了 信息 系统 的 可 靠 性 ,如 机 房 防火 、 防 水 、 防 雷 、 防 静电 、 防 
盗 防 毁 能 力 , 供 电能 力 , 通 信 线 路 安全 等 。 系 统 自 身 的 物理 安全 问题 也 会 对 信息 系统 的 保密 
性 完整 性 .可 用 性 带 来 安全 威胁 ,如 灾难 备份 与 恢复 能 力 、 物 理 访 问 控制 能 力 `. 边 界 保护 能 
力 \、 设 备 管理 能 力 等 。 信 息 系统 物理 安全 (简称 “物理 安全 ”) 是 指 为 了 保证 信息 系统 安全 可 
靠 运行 ,确保 信息 系统 在 对 信息 进行 采集 、 处 理 、 传 输 、 存 储 过 程 中 ,不 致 受到 人 为 或 自然 因 
素 的 危害 ,而 使 信息 丢失 、 汇 露 或 破坏 ,对 计算 机 设备 ,设施 (包括 机 房 建筑 .供电 、 空 调 等 )、 
环境 人 员 、 系 统 等 采取 适当 的 安全 措施 。 

我 国 制定 了 五 个 安全 等 级 的 信息 系统 物理 安全 标准 GB/T 20271 一 2006, 其 中 提出 的 
技术 要 求 包括 三 方面 : 信息 系统 的 配套 部 件 、 设 备 安全 技术 要 求 ; 四 信息 系统 所 处 物理 
环境 的 安全 技术 要 求 ; @@ 保 障 信息 系统 可 靠 运 行 的 物理 安全 技术 要 求 。 设 备 物理 安全 、 环 
境 物理 安全 及 系统 物理 安全 的 安全 等 级 技术 要 求 , 确 定 了 为 保护 信息 系统 安全 运行 所 必须 
满足 的 基本 的 物理 技术 要 求 。 

GB/T 20271 一 2006 标准 以 GB 17859 一 1999 对 于 五 个 安全 等 级 的 划分 为 基础 ,依据 五 
个 安全 等 级 中 对 于 物理 安全 技术 的 不 同 要 求 ,结合 当 前 我 国 计 算 机 、 网 络 和 信息 安全 技术 发 
展 的 具体 情况 ,根据 适度 保护 的 原则 ,将 物理 安全 技术 等 级 分 为 五 个 不 同 级 别 ,并 对 信息 系 
统 安 全 提出 了 物理 安全 技术 方面 的 要 求 。 不 同安 全 等 级 的 物理 安全 平台 为 相对 应 安全 等 级 
的 信息 系统 提供 应 有 的 物理 安全 保护 能 力 。 第 一 级 物理 安全 平台 为 第 一 级 用 户 自主 保护 级 
提供 基本 的 物理 安全 保护 ,第 二 级 物理 安全 平台 为 第 二 级 系统 审计 保护 级 提供 适当 的 物理 
安全 保护 ,第 三 级 物理 安全 平台 为 第 三 级 安全 标记 保护 级 提供 较 高 程度 的 物理 安全 保护 ,第 
四 级 物理 安全 平台 为 第 四 级 结构 化 保护 级 提供 更 高 程度 的 物理 安全 保护 ,第 五 级 物理 安全 
平台 为 第 五 级 访问 验证 保护 级 提供 最 高 程度 的 物理 安全 保护 。 

随 着 物理 安全 等 级 的 依次 提高 ,信息 系统 物理 安全 的 可 信 度 也 随 之 增加 ,信息 系统 所 面 
对 的 物理 安全 风险 也 和 逐渐 减少 。 

1. GB/T 20271 一 2006 标准 基本 术语 和 定义 


信息 系统 由 计算 机 及 其 相关 的 配套 部 件 、 设 备 和 设施 构成 ,是 按照 一 定 的 应 用 目的 和 规 
则 对 信息 进行 采集 、 加 工 、 存 储 、 传 输 、 检 索 等 的 人 机 系统 。 信 息 系 统 物理 安全 ,是 指 为 了 保 
证 信息 系统 安全 可 靠 运 行 , 确 保 信 息 系 统 在 对 信息 进行 采集 、 处 理 \ 传 输 、 存 储 过 程 中 ,不 致 
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受到 人 为 或 自然 因素 的 危害 ,而 使 信息 丢失 \ 泄 露 或 破坏 ,对 计算 机 设备 .设施 (包括 机 房 建 
筑 、 供 电 、 空 调 )、 环 境 \ 人 员 、 系 统 等 采取 适当 的 安全 措施 。 

设备 物理 安全 ,是 指 为 保证 信息 系统 的 安全 可 靠 运 行 ,降低 或 阻止 人 为 或 自然 因素 对 硬 
件 设备 安全 可 靠 运 行 带 来 的 安全 风险 ,对 硬件 设备 及 部 件 所 采取 的 适当 安全 措施 。 环 境 物 
理 安全 ,是 指 为 保证 信息 系统 的 安全 可 靠 运行 所 提供 的 安全 运行 环境 ,使 信息 系统 得 到 物理 
上 的 严密 保护 ,从 而 降低 或 避免 各 种 安全 风险 。 系 统 物理 安全 ,是 指 为 保证 信息 系统 的 安全 
可 靠 运行 ,降低 或 阻止 人 为 或 自然 因素 从 物理 层面 对 信息 系统 保密 性 、 完 整 性 .可 用 性 带 来 
的 安全 威胁 ,从 系统 的 角度 采取 的 适当 安全 措施 。 传 统 意义 的 物理 安全 包括 设备 安全 、 环 境 
安全 ,设施 安全 以 及 介质 安全 。 

设备 安全 的 安全 技术 要 素 包括 设备 的 标志 和 标记 、 防 止 电 磁 信 息 泄露 、 抗 电磁 干扰 、 电 
源 保 护 以 及 设备 振动 .碰撞 、 冲 击 适应 性 等 方面 。 环 境 安 全 的 安全 技术 要 素 包 括 机 房 场 地 选 
择 、 机 房 屏蔽 、 防 火 、 防 水 、 防 雷 、 防 鼠 、 防 盗 、 防 毁 、 供 配 电 系 统 、 空 调 系统 、 综 合 布线 .区 域 防 
护 等 方面 。 介 质 安全 的 安全 技术 要 素 包括 介质 自身 安全 以 及 介质 数据 的 安全 。 上 述 物 理 安 
全 涉及 的 安全 技术 解决 了 由 于 设备 .设施 .介质 的 硬件 条 件 所 引发 的 信息 系统 物理 安全 威胁 
问题 ,从 系统 的 角度 看 ,这 一 层面 的 物理 安全 是 狭义 的 物理 安全 ,是 物理 安全 的 最 基本 内 容 。 
广义 的 物理 安全 还 应 包括 由 软件 、 硬 件 、 操 作 人 员 组 成 的 整体 信息 系统 的 物理 安全 , 即 包括 
系统 物理 安全 。 信 息 系 统 安全 体现 在 信息 系统 的 保密 性 、 完 整 性 、 可 用 性 三 方面 ,从 物理 层 
面 出 发 ,系统 物理 安全 技术 应 确保 信息 系统 的 保密 性 、 可 用 性 、 完 整 性 ,如 通过 边界 保护 、 配 
移 管 理 \ 设 备 管理 等 措施 保护 信息 系统 的 保密 性 ,通过 容错 、 故 障 恢 复 、 系 统 灾难 备份 等 措施 
确保 信息 系统 可 用 性 ,通过 设备 访问 控制 ,边界 保护 .设备 及 网 络 资源 管理 等 措施 确保 信息 
系统 的 完整 性 。 三 者 关系 如 图 2-3 所 示 。 


广义 物理 安全 (系统 物理 安全 ) 


狭义 物理 安全 
Case Css ) 


图 2-3 广义 物理 安全 


完整 性 ,是 指 保 证 信息 与 信息 系统 不 会 被 有 意 地 或 无 意 地 更 改 或 破坏 的 特性 。 可 用 性 ， 
是 指 保证 信息 与 信息 系统 可 被 授权 者 正常 使 用 。 保 密 性 ,是 指 保证 信息 与 信息 系统 不 可 被 
非 授 权 者 利用 。 

浪 涌 保护 器 ,是 用 于 对 雷电 电流 、 操 作 过 电压 等 进行 保护 的 器 件 。 电 磁 骚 扰 , 是 指 任何 
可 能 引起 装置 .设备 或 系统 性 能 降低 或 对 有 生命 或 无 生命 物质 产生 损害 作用 的 电磁 现象 。 
电磁 干扰 ,是 指 电磁 骚扰 引起 的 设备 、 传 输 通道 或 系统 性 能 的 下 降 。 抗 扰 度 ,是 指 装置 .设备 
或 系统 面临 电磁 骚扰 不 降低 运行 性 能 的 能 力 。 不 间断 供电 系统 ,是 指 确保 计算 机 不 停止 工 
作 的 供电 系统 。 安 全 隔离 设备 ,包括 安全 隔离 计算 机 、 安 全 隔离 卡 和 安全 隔离 线路 选择 器 等 
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设备 。 抗 扰 度 限 值 ,是 指 规定 的 最 小 抗 扰 度 电 平 。 非 燃 材 料 , 是 指 材料 在 受 燃 烧 或 高 温 作用 

时 ,不 起 火 ,不 微 燃 、 难 炭化 的 材料 。 难 燃 材料 ,是 指 材 料 在 受到 燃烧 或 高 温 作用 时 , 难 起 火 、 

难 微 燃 、 难 炭化 的 材料 。 标 志 , 是 指 用 来 表明 设备 或 部 件 的 生产 信息 。 标 记 , 是 指 用 来 识别 、 

区 分 设备 .部件 或 人 员 等 级 的 表示 符号 。 
2. 物理 安全 平台 
信息 系统 物理 安全 五 个 等 级 具体 标准 不 同 , 下 面 分 别 给 出 设备 物理 安全 、 环 境 物 理 安全 

和 系统 物理 安全 每 个 级 别 的 具体 要 求 ,第 五 级 安全 标准 省 略 ,分别 见 表 2-4 一 表 2-6。 

表 2-4 设备 安全 技术 要 求 各 级 别 项 目 


级 列 
内 容 

第 一 级 第 二 级 第 三 级 第 四 级 
标志 标志 明显 ,清晰 ”| 标志 明显 ,清晰 ”| 标志 明显 ,清晰 ”| 标志 明显 ,清晰 
福 村 增加 对 表面 外 观 的 | 增加 对 表面 外 观 的 | 增加 对 表面 外 观 的 
标记 和 外 观 标记 明显 无 法 控 去 | 要 el 
前 电 放电 抗 护 ” ”|2 级 , 判 据 分 类 C ”|3 级 , 判 据 分 类 C ”|4 级 , 判 据 分 类 B ”|4 级 , 判 据 分 类 A 
电磁 辐射 驱 抗 A 级 B 级 级 
电源 端口 电磁 传导 

B B 
级 级 
信号 端口 电磁 传导 
B B 
paid 级 级 
电磁 辐射 搞 护 ” ”|1 级 , 判 据 分 类 C ”|2 级 , 判 据 分 类 C ”|3 级 , 判 据 分 类 BB ”|3 级 , 判 据 分 类 A 
口 

a 2 级 , 判 据 分 类 BB 。 |3 级 , 判 据 分 类 A 
抗 扰 
pa 2 级 , 判 据 分 类 C |3 级 , 判 据 分 类 B 。 |4 级, 判 据 分 类 A 
Ad 3 级 , 判 据 分 类 BB。 |4 级 , 判 据 分 类 A 
抗 扰 
电源 端口 电 快速 朋 
时 隐 冲 辽 从 讽  ，|2 级 , 淹 据 分 类 C |2 级 , 判 据 分 类 C |3 级 , 判 毛 分 类 BB 。 |4 级 , 关 据 分 类 A 
信号 端口 电 快 速 肯 
ee 3 级, 判 据 分 类 BB 。 |4 级 , 判 据 分 类 A 
电压 暂 降 搞 搞 70R%UT , 济 据 分 类 百 70 判 据 分 关 人 
电压 短 时 中 断 抗 拓 60%U , 判 据 分 类 B170%HU , 判 据 分 关 信 
工 频 破 场 抗 扩 2 级 , 判 据 分 类 A 
脉冲 磁场 抗 扩 3 级, 判 据 分 类 A 
电源 适应 能 力 土 10% (DC、AC) 十 10% 一 15%(AC) | 十 10% 一 15% (CAC) 
抗 电 强度 GB 4953 5. 2 GB 4953 5. 2 GB 4953 5. 2 GB 4953 5.2 
泄漏 电流 不 超过 5mA 不 超过 5mA 不 超过 5mA 不 超过 5mA 
电源 线 三 蕊 电源 三 世 电 源 三 世 电 源 
绝缘 电阻 不 小 于 5MQ 不 小 于 5MQ 不 小 于 5MQ 不 小 于 5MQ 
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续 表 
级 别 
内 容 
第 一 级 第 二 级 第 三 级 第 四 级 
操作 人 员 接 触 区 的 | 操作 人 员 接 触 区 的 
i 零 部 件 零 部 件 
对 设备 的 防火 提出 
ee 要 求 
对 设备 的 防爆 裂 提 
防爆 裂 出 要 求 
温度 10 一 35YC 温度 0 一 40C 
温度 和 湿度 适应 性 湿度 35% 一 80% | 湿度 30%~90% 
(C4oC ) (40C) 
2 在 三 级 的 基础 上 增 
振动 适应 性 site 大 振动 的 频率 范围 
和 振幅 
对 设备 的 冲击 适应 | 在 三 级 的 基础 上 增 
和 性 提出 要 求 大 冲击 的 峰值 加 速度 
对 设备 的 磁 撞 适应 | 在 三 级 的 基础 上 增 
科 折 洁 记 柱 性 提出 要 求 大 碰撞 的 峰值 加 速度 
可 靠 性 对 设备 的 可 靠 性 提 | 对 设备 的 可 靠 性 提 
出 要 求 出 要 求 


(1) 第 一 级 物理 安全 平台 

第 一 级 物理 安全 平台 为 第 一 级 用 户 自主 保护 级 提供 基本 的 物理 安全 保护 。 在 设备 物理 
安全 方面 ,为 保证 设备 的 基本 运行 ,对 设备 提出 了 抗 电 强度 .泄露 电流 、 绝 缘 电 阻 等 要 求 ,并 
要 求 对 来 自 静 电 放 电 、 电 磁 辐 射 \ 电 快速 瞬 变 脉冲 群 等 的 初级 强度 电磁 干扰 有 基本 的 抗 扰 能 
力 。 在 环境 物理 安全 方面 ,为 保证 信息 系统 支撑 环境 的 基本 运行 ,提出 了 对 场地 选择 、 防 火 、 
防 雷 电 的 基本 要 求 。 在 系统 物理 安全 方面 ,为 保证 系统 整体 的 基本 运行 ,对 灾难 备份 与 恢 
复 \ 设 备 管理 提 出 了 基本 要 求 ,系统 应 利用 备份 介质 以 降低 灾难 带 来 的 安全 威胁 ,对 设备 信 
息 、 软 件 信 息 等 资源 信息 进行 管理 。 

(2) 第 二 级 物理 安全 平台 

第 二 级 物理 安全 平台 为 第 二 级 系统 审计 保护 级 提供 适当 的 物理 安全 保护 。 在 设备 物理 
安全 方面 ,为 支持 设备 的 正常 运行 ,本 级 在 第 一 级 物理 安全 技术 要 求 的 基础 上 ,增加 了 设备 
对 电源 适应 能 力 的 要 求 ,增加 了 对 来 自 射电 磁 辐 射 、 浪 涌 ( 冲 击 ) 的 电磁 干扰 具有 基本 的 抗 扰 
能 力 要 求 ,以 及 对 设备 及 部 件 产 生 的 电磁 辐射 骚扰 具有 基本 的 限制 能 力 要求 。 在 环境 物理 
安全 方面 ,为 保证 信息 系统 支撑 环境 的 正常 运行 ,本 级 在 第 一 级 物理 安全 技术 要 求 的 基础 
上 ,增加 了 对 机 房 建设 .记录 介质 、 人 员 要 求 .机房 综合 布线 、 通 信 线 路 的 适当 要 求 , 机 房 应 具 
备 一 定 的 防火 、 防 雷 、 防 水 、 防 盗 、 防 毁 、 防 静电 、 电 磁 防护 能 力 , 温 湿度 控制 能 力 ,一定 的 应 急 
供 配 电能 力 。 在 系统 物理 安全 方面 ,为 保证 系统 整体 的 正常 运行 ,本 级 在 第 一 级 物理 安全 技 
术 要 求 的 基础 上 ,增加 了 设备 备份 .网 络 性 能 监测 、 设 备 运 行 状 态 监 测 、 告 警 监 测 的 要 求 , 系 
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统 应 对 易 受 到 损坏 的 计算 机 和 网 络 设备 有 一 定 的 备份 ,对 网 络 环境 进行 监测 以 具备 网 络 . 设 
备 告 警 的 能 力 。 

(3) 第 三 级 物理 安全 平台 

第 三 级 物理 安全 平台 为 第 三 级 安全 标记 保护 级 提供 较 高 程度 的 物理 安全 保护 。 在 设备 
物理 安全 方面 ,为 支持 设备 的 稳定 运行 ,本 级 在 第 二 级 物理 安全 技术 要 求 的 基础 上 ,增加 了 
对 来 自 感应 传导 、 电 压 变 化 产生 的 电磁 干扰 具有 一 定 的 抗 扰 能 力 要 求 ,以 及 对 设备 及 部 件 产 
生 的 电磁 传导 骚扰 具有 一 定 的 限制 能 力 要 求 ,并 增加 了 对 设备 防 过 热能 力 、` 温 湿度 .振动 、 冲 
击 、 碰 撞 适 应 性 能 力 的 要 求 。 在 环境 物理 安全 方面 ,为 保证 信息 系统 支撑 环境 的 稳定 运行 ， 
本 级 在 第 二 级 物理 安全 技术 要 求 的 基础 上 ,增加 了 对 出 入 口 电子 门禁 、 机 房 屏 项 、 监 控 报 警 
的 要 求 ,机 房 应 具备 较 高 的 防火 、 防 雷 、 防 水 、 防 盗 \ 防 毁 、 防 静电 、 电 磁 防 护 能 力 \ 温 湿度 控制 
能 力 、 较 强 的 应 急 供 配 电能 力 ,提出 了 对 安全 防范 中 心 的 要 求 。 在 系统 物理 安全 方面 ,为 保 
证 系统 整体 的 稳定 运行 ,本 级 在 第 二 级 物理 安全 技术 要 求 的 基础 上 ,对 灾难 备份 与 恢复 增加 
了 灾难 备份 中 心 .网 络 设备 备份 的 要 求 , 对 设备 管理 增加 了 网 络 拓扑 、 设 备 部 件 状态 、 故 障 定 
位 \ 设 备 监 控 中 心 的 要 求 ,并 对 设备 物理 访问 、 网 络 边 界 保护 \、 设 备 保护 、 资 源 利 用 提出 了 基 
本 要 求 ,如 表 2-5 所 示 。 

表 2-5 环境 安全 技术 要 求 各 级 别 项 目 1 


级 别 
内 容 
第 一 级 第 二 级 第 三 级 第 四 级 
各 免 设 在 建筑 物 的 
场地 选择 保障 系统 正常 运行 第 二 类 建筑 物 肪 人 高 层 或 地 下 室 ,第 二 
类 建筑 物 防 雷 
机 房 二 级 耐火 , 轴 助 机房. 辅助 间 二 级 而 es 
机 房 防火 灭火 设备 ,装修 材料 | 间 三 级 耐火 ,灭火 | 火 , 火 灾 自 动 报警 | 站 房 * 畏 助 同 二 
y 火 ,火灾 自动 报警 
设备 系统 
系统 
电感 辆 射电 场 强度 | 电 三 辆 射电 场 强度 
人 达到 要 求 达到 要 求 
机 房 屏蔽 机 房 采取 屏蔽 措施 | 机 房 采取 屏蔽 措施 
机 房 电源 质量 C| 机 房 电源 质量 B| 机 房 电源 质量 A 级 ， 
让 级 , 备 电 30 分钟 ”| 级 , 备 电 24 小 时 “| 备 电 24 小 时 
葛 电 防护 单独 接地 线 汇集 点 | 静电 电位 过 1kV ”| 接地 母线 截面 积 
二 闫 防 军 三 闫 防 省 
防 雷 电 三 类 防 雷 电源 浪 涌 保 护 器 表 5| 电源 浪 涌 保 护 器 表 3、| 电源 浪 涌 保 护 器 表 1、 
1/O 线 洒 保 护 器 表 4 | IO 线 涌 保 护 器 表 2 
等 电位 连接 网 ,截面 | 等 电位 连接 网 ,截面 | 等 电位 连接 网 ,截面 
积 宇 35mm? 积 三 50mm? 积 三 50mm? 
温 湿 度 控制 空调 设备 完备 空调 系统 。 ”| 完备 中 央 空调 系统 
水 管 安装 、 防 滩 漏 | 应 有 泼水 检测 报警 | 应 有 漏水 检测 报警 
措施 装置 装置 
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续 表 
级 “ 别 
内 容 
第 一 级 第 二 级 第 三 级 第 四 级 
机房 投 捕 刀 或 张 刀 | 机 房 投 捕 忌 或 张 局 | 机 房 投 捕 忌 或 驱 怕 
防虫 鼠 害 装置 , 线 线 数 驱 虫 药 | 装置 , 线 线 烧 驱 虫 药 | 装 置 , 线 缆 数 驱 虫 药 
和 忌 药 和 忌 药 和 鼠 药 
和 机 房 门窗 装 防护 窗 ,| 增加 防盗 报警 ,监控 | 增加 对 机 房 出 人 人 
防盗 门 或 24h 值守 | 装置 员 ,重要 部 位 监视 
设 单 殊 出 大口 专人 | 增加 第 二 道 电 子 
出 入 口 控制 el 增加 电子 门禁 系统 | 站 
建立 安全 防范 管理 | 建立 完善 的 安全 防 
Ws 系统 范 管理 系统 
防止 瓷 、 骏 . 损 和 非 | 增加 出 人 登记 , 防 | 增加 无 关 人 员 不 得 
Gi 法 复制 火 , 借 用 审批 入 内 
增加 岗位 责任 制 , 定 | 建立 质量 管理 体系 ， 
人 员 与 职责 要 求 期 培训 ,限制 不 同 区 | 非 本 区 人 员 进 入 
域 人 员 进入 登记 
最 小 平行 距离 大 于 | 最 小 平行 距离 大 于 | 最 小 平行 距离 大 于 
全 
轴 内 综合 布线 要 求 lm 以 上 1.5m 以 上 1.5m 以 上 
应 理 于 地 下 或 采用 
通信 线路 安全 ee ee 金属 套 管 ; 应 铺设 或 
租用 专线 
系统 访问 控制 ， 数 
据 保护 和 系统 安全 | 不 得 留 有 与 外 界 伟 
信息 传输 .交换 与 共 保管 监控 管理 ; 访 | 输 的 通道 与 接口 , 当 
享 范围 要 求 问 权限 控制 ， 系统 | 信息 安全 受到 威胁 
与 外 网 需 使 用 物理 | 时 ,暂停 系统 运行 
隔离 部 件 


(4) 第 四 级 物理 安全 平台 
第 四 级 物理 安全 平台 为 第 四 级 结构 化 保护 级 提供 更 高 程度 的 物理 安全 保护 。 在 设备 物 


理 安全 方面 ,为 支持 设备 的 可 靠 运 行 ,本 级 在 第 三 级 物理 安全 技术 要 求 的 基础 上 ,增加 了 对 
来 自 工 频 磁场 .脉冲 磁场 的 电磁 干扰 具有 一 定 的 抗 扰 能 力 要 求 ,并 要 求 应 对 各 种 电磁 干扰 有 具 
有 和 较 强 的 抗 扰 能 力 ,增加 了 设备 对 防爆 裂 的 能 力 要 求 。 在 环境 物理 安全 方面 .为 保证 信息 系 
统 支撑 环境 的 可 靠 运行 , 本 级 在 第 三 级 物理 安全 技术 要 求 的 基础 上 ,要 求 机房 应 具备 更 高 的 
防火 、 防 雷 、 防 水 、 防 盗 、 防 毁 、 防 静电 ,电磁 防 护 能 力 、 温 湿度 控制 能 力 、 更 强 的 应 急 供 配 电能 
力 , 并 建立 完善 的 安全 防范 管理 系统 。 在 系统 物理 安全 方面 ,为 保证 系统 整体 的 可 靠 运行 ， 
本 级 在 第 三 级 物理 安全 技术 要 求 的 基础 上 .对 灾难 备份 与 恢复 增加 了 异地 灾难 备份 中 心 .网 
络 路 径 备 份 的 要 求 , 对 设备 管理 增加 了 性 能 分 析 、 故 障 自动 恢复 以 及 建立 多 层次 分 级 设备 监 
控 中 心 的 要 求 ,并 对 设备 物理 访问 、 网 络 边 界 保护 、 设 备 保护 、 资 源 利 用 提出 了 较 高 要 求 ,如 
表 2-6 所 示 。 
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表 2-6 系统 安全 技术 要 求 各 级 别 项 目 2 


级 别 
内 容 
第 一 级 第 二 级 第 三 级 第 四 级 
灾难 备份 与 | 备份 介质 系统 手工 增加 灾难 备份 中 心 . 网 | 增加 异地 灾 备 中 心 、 
恢复 恢复 人 络 设备 备份 网 络 路 径 备份 
， 增加 设备 标识 与 鉴别 、 
物理 设备 访问 tl bi 增加 端口 访问 控制 
非法 接 入 探测 .非法 外 | 增加 非法 接 入 阻 断 ， 
四 于 如 访 联 探测 非法 外 联 阻 断 
增加 器 材 信息 ` 电 路 信 | 增 加 器 材 信息 \ 电 路 
资源 管理 。 “| 设备 信息 ,软件 信息 ps 息 ,增加 网 络 拓扑 服务 | 信息 ,增加 网 络 拓扑 
管理 服务 管理 
网 络 性 能 监控 .设备 运 | 增加 设备 部 件 状态 
性 能 管理 pe | 增加 性 能 分 析 
故 陈 管理 故障 告警 监测 增加 故障 定位 增加 故障 自动 恢复 
和 采取 措施 保障 管理 信 | 采 取 措 施 保障 管理 信 | 采 取 措 施 保 障 管理 信 
a 息 的 存储 传输 安全 “| 息 的 存储 、 传 输 安全 “| 息 的 存储 ,传输 安全 
安全 管理 角色 设置 安全 管理 角色 ”| 设置 安全 管理 角色 
， 、 mw mw wie | 多 层次 的 分 级 设备 
设备 监控 中 心 设置 设备 监控 中 心 。 | 各 中 
物理 攻击 被 动 检测 .可 | 增加 物理 攻击 自动 
st 信 时 间 截 .设备 自 检 | 报告 
降级 故障 容错 有限 服 | 受 限 故 障 容 铺 \ 全 部 
资源 利用 务 优先 级 、 最 大 限额 资 服务 优先 级 、 最 小 和 


源 分 配 


最 大 限额 资源 分 配 
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密码 学 是 一 门 古老 而 深奥 的 学 科 , 是 结合 数学 、 计 算 机 科学 、 电 子 与 通信 等 诸多 学 科 
于 一 体 的 交叉 学 科 , 是 研究 信息 系统 安全 保密 的 一 门 科学 。 密 码 学 主要 包括 密码 编码 学 
和 密码 分 析 学 两 个 分 支 , 其 中 密码 编码 学 的 主要 目的 是 寻求 保证 信息 保密 性 或 认证 性 的 
方法 ,密码 分 析 学 的 主要 目的 是 研究 加 密 消息 的 破译 或 消息 的 伪造 。 密 码 学 经 历 了 从 十 
代 密 码 学 到 现代 密码 学 的 演变 。 密 码 技术 是 信息 系统 安全 的 关键 技术 。 本 章 简要 介绍 
密码 技术 的 发 展 历程 ,基本 知识 ,重点 介绍 对 称 密码 体制 、 非 对 称 密码 体制 和 密 钥 管 理 
技术 。 


3.1 密码 学 概述 
3.1.1 密码 学 的 发 展 历程 


密码 学 的 应 用 可 以 追溯 到 几 千 年 前 ,自从 人 类 社会 有 了 战争 ,就 有 了 保密 通信 ,也 有 了 
密码 的 应 用 。 由 于 很 长 时 间 内 ,密码 仅 限 于 军事 政治 和 外 交 的 用 途 , 密 码 学 的 知识 和 经 验 
也 仅 掌握 在 与 军事 ,政治 和 外 交 有 关 的 密码 机 关中 ,再 加 上 通信 手段 比较 落后 ,所 以 不 论 密 
码 理论 还 是 密码 技术 ,发 展 都 很 缓慢 。 随 着 计算 机 网 络 \ 物 联网 、 云 计算 和 大 数据 的 发 展 , 密 
码 技术 已 广泛 应 用 于 诸多 商业 领域 ,如 金融 .电网 .电信 遥感、 石油、 水 利 等 ,发 展 前 景 广阔 。 

在 密码 学 史 中 , 恩 尼 格 玛 密码 机 (德语 为 Enigma, 又 译作 哑 谜 机 ,或 认 ) 是 一 种 用 于 加 密 
与 解密 文件 的 密码 机 。 确 切 地 说 ,Enigma 是 一 系列 相似 的 旋转 机 的 统称 , 它 包 括 了 一 系列 
不 同 的 型 号 ,图 3-1 所 示 的 是 Enigma 关键 部 件 。Enigma 在 20 世纪 20 年 代 早期 开始 用 于 
商业 ,一 些 国家 的 军队 与 政府 采用 过 ,最 著名 的 是 第 二 次 世界 大 战 时 的 纳粹 德国 。 德 国 使 用 
的 军用 版 德国 防卫 军 Enigma 机 是 最 早 被 人 们 提 到 的 版 本 。 在 使 用 中 ,Enigma 密码 机 每 天 
需要 一 份 键盘 清单 和 一 些 附加 文件 。 德 国 海军 用 Enigma 密码 机 的 操作 步骤 非常 复杂 , 密 
码 本 也 是 用 水 溶性 的 红色 墨水 在 粉色 纸 上 印 制 而 成 的 ,在 被 敌 方 缴获 时 可 以 轻松 地 将 它 销 
毁 , 图 3-2 所 示 为 密码 本 。 

最 早 将 现代 密码 学 概念 运用 于 实际 的 是 Caesar 大 帝 ,他 是 古 罗 马 帝 国 末期 著名 的 统 
帅 和 政治 家 。Caesar 发 明了 一 种 简单 的 加 密 算法 把 他 的 信息 加 密 用 于 军队 传递 ,后 来 被 
称 为 Caesar 密码 。 它 是 将 字母 按 字母 表 的 顺序 排列 ,并 且 最 后 一 个 字母 与 第 一 个 字母 相 
连 。 加 密 方法 是 将 明文 中 的 每 个 字母 用 其 后 边 的 第 三 个 字母 代替 (如 表 3-1 所 示 ) ,就 变 
成 了 密 文 。 例 如 ,明文 为 EXPOSHANGHATI, 代 替 的 密 文 为 HASRVKDQJK 
DL; 密 文 为 KDFCAAJF A QH YW, 相应 的 明文 为 HACZXXGCXNET。 
Caesar 密码 是 替换 加 密 法 ,属于 经 典 密 码 学 中 第 一 种 , 它 将 字母 换 成 其 他 字母 或 符号 , 称 
为 替代 密码 。 
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有 En 


图 3-1 Enigma 关键 部 件 一 一 转子 ,三 个 转子 图 3-2 Enigma 密码 本 
位 于 右边 的 固定 界面 和 左边 ( 标 着 B) 
的 反射 器 两 个 装置 之 间 


表 3-1 Caesar 密码 的 代替 表 


明文 a b ec d ee | g h i j k 1 m 
密 文 D E F G H I | K L M N O 到 
明文 n o p q r s t u v w 党 y z 
密 文 Q R S 人 U V 竺 X 和 Zz A B C 


蔡 代 密 码 的 基本 思想 ,是 将 明文 中 的 每 个 字母 用 此 字符 在 字母 表 中 后 面 第 《个 字母 替 
代 , 加 密 过 程 可 以 表示 为 函数 EE(m) 二 (m 十 k) mod n。 其 中 : m 为 明文 字母 在 字母 表 中 的 
位 置 数 ,n 为 字母 表 中 的 字母 个 数 ,k 为 密 钥 .E(m) 为 密 文字 母 在 字母 表 中 对 应 的 位 置 数 。 
其 解密 过 程 可 以 表示 为 函数 Elm) 二 (m 一 k) mod n。 

例如 ,对 于 明文 字母 H, 其 在 字母 表 中 的 位 置 数 为 8, 设 k= 二 4, 按 照 上 式 计算 密 文 为 工 : 
EE(8) 二 (m 十 k) mod 2 一 (8 十 4) mod 26 二 12 二 L。 其 解密 明文 为 H: E(12) 二 (m 一 k) mod 7 一 
(12 一 4) mod 26 二 8 二 了。 替代 密码 还 有 多 种 类 型 .如 单 表 替代 密码 、 多 明码 蔡 代 密 码 、 多 字 
母 替代 密码 、 多 表 替 代 密 码 等 。 

置换 密码 的 基本 思想 是 ,不 改变 明文 字符 ,只 是 将 字符 在 明文 中 的 排列 顺序 改变 ,从 而 
实现 明文 信息 的 加 密 ,又 称 为 换 位 密码 。 和 矩阵 换 位 法 是 实现 置换 密码 的 一 种 常用 方法 , 它 将 
明文 中 的 字母 按照 给 定 的 顺序 安排 在 一 个 矩阵 中 ,然后 根据 密 钥 提供 的 顺序 重新 组 合 和 矩阵 
中 的 字母 ,从 而 形成 密 文 。 

例如 ,明文 为 attack begins at five, 密 钥 为 cipher, 将 明文 按照 每 行 6 列 的 形式 排 在 矩阵 
中 ,形成 如 下 形式 : 


让 


根据 密 钥 cipher 中 各 字母 在 字母 表 中 出 现 的 先后 顺序 ,给 定 一 个 置换 : 


7-[ 345 人 
1 5 
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根据 上 面 的 置换 ,将 原 有 和 矩阵 中 的 字母 按照 第 1 列 . 第 4 列 第 5 列 ` 第 3 列 ` 第 2 列 . 第 6 列 
的 顺序 排列 , 则 有 下 面 的 形式 : 


aivf te 
从 而 得 到 密 文 abatgftetcnvaiikse。 其 解密 的 过 程 是 将 密 钥 的 字母 数 作为 列 数 ,将 密 文 按照 
列 . 行 的 顺序 写 出 ,再 根据 由 密 钥 给 出 的 矩阵 置换 产生 新 的 矩阵 ,从 而 恢复 明文 。 

计算 机 的 出 现 , 大 大 地 促进 了 密码 学 的 变革 ,现代 密码 学 从 半 军 事 性 的 角落 解脱 出 来 ， 
成 为 通信 科学 一 切 领 域 中 的 中 心 研 究 课题 。 由 于 商业 应 用 和 大 量 计算 机 网 络 通信 的 需要 ， 
人 们 对 数据 保护 数据 传输 的 安全 性 越 来 越 重视 ,这 更 大 地 促进 了 密码 学 的 发 展 与 普及 。 密 
码 学 的 发 展 大 致 分 为 三 个 阶段 。 

(1) 第 一 阶段 : 古代 至 1949 年 。 

这 阶段 的 密码 技术 可 以 说 是 一 种 艺术 ,而 不 是 一 种 科学 .密码 学 专家 常常 是 凭 知觉 和 信 
念 来 进行 密码 设计 和 分 析 ,而 不 是 推理 和 证 明 , 没 有 形成 密码 学 的 系统 理论 。 这 一 阶段 设计 
的 密码 称 为 经 典 密码 或 古典 密码 ,并且 密码 算法 在 现代 计算 机 技术 条 件 下 都 是 不 安全 的 。 

(2) 第 二 阶段 : 1949 一 1975 年 。 

1949 年 C. E. Shannon( 香 农 ) 发 表 在 《贝尔 实验 室 技术 杂志 》 上 的 《保密 系统 的 信息 理 
论 )(Communication Theory of Secrecy System) 为 私 钥 密码 体系 (对 称 加 密 ) 建 立 了 理论 基 
础 ,从 此 密码 学 成 为 一 门 科学 。 图 3-3 所 示 为 香农 提出 的 保密 通信 模型 。 密 码 学 直到 今天 
仍 具 有 艺术 性 ,是 具有 艺术 性 的 一 门 科 学 。 这 段 时 期 密码 学 理论 的 研究 工作 进展 不 大 。 
1967 年 David Kahn 出 版 了 The Code Breakers (破译 者 ) 一 书 , 详 尽 地 阐述 了 密码 学 的 发 展 
和 历史 ,使 人 们 开始 了 解 和 接触 密码 。1976 年 , Pfister ( 菲 斯 特 ) 和 美国 国家 安全 局 
(National Security Agency. NSA) 一 起 制定 了 数据 加 密 标 准 (Data Encryption Standard， 
DES) ,这 是 一 个 具有 深远 影响 的 分 组 密码 算法 。 


密码 攻击 者 


明文 一 一 | 加密 变换 EC 一 一 DD 一 | 解密 变换 六 | 一 一 明文 闻 


图 3-3 香农 提出 的 保密 通信 模型 


(3) 第 三 阶段 : 1976 年 至 今 。 

1976 年 Diffie 和 Hellman 发 表 的 文章 (密码 学 发 展 的 新 方向 ) 导 致 了 密码 学 上 的 一 场 
革命 ,他 们 首先 证 明了 在 发 送 端 和 接收 端 无 密 钥 传 输 的 保密 通信 和 是 可 能 的 ,从 而 开创 了 公 
密码 学 的 新 纪元 。 从 此 ,密码 开始 充分 发 挥 它 的 商用 价值 和 社会 价值 。1978 年 ,在 ACM 
通信 中 ,Rivest\Shamir 和 Adleman 公布 了 RSA 密码 体系 ,这 是 第 一 个 真正 实用 的 公 钥 密 
码 体系 ,可 以 用 于 公 钥 加 密 和 数字 签名 。 由 于 RSA 算法 对 计算 机 安全 和 通信 的 巨大 贡献 ， 
该 算法 的 3 个 发 明 人 因此 获得 计算 机 界 的 诺 贝 尔 奖 一 一 图 灵 奖 (A. M. Turing Award) 。 在 
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EuroCrypt?91 年 会 上 ,中 国旅 居 瑞 士 学 者 来 学 嘉 (X.J. Lai) 和 James L. Massey 提出 了 
IDEA ,成 为 分 组 密码 发 展 史 上 的 又 一 个 里 程 碑 。 
现代 密码 学 的 男 一 个 主要 标志 是 基于 计算 机 复杂 度 理论 的 密码 算法 安全 性 证 明 。 清 华 
学 姚 期 智 教授 在 保密 通信 计算 复杂 度 理论 上 有 重大 的 贡献 ,并 因此 获得 2000 年 度 图 灵 
奖 。 随 着 计算 能 力 的 不 断 增强 ,现在 DES 已 经 变 得 越 来 越 不 安全 。1997 年 美国 国际 标准 
研究 所 (American National Standards Institute.ANSI 公 开征 集 新 一 代 分 组 加 密 算法 ,并 于 
2000 年 选择 Rijndael 作为 高 级 加 密 算 法 (Advanced Encryption Standard, AES) 以 取代 
DES。 为 了 对 付 美国 联邦 调查 局 (FBI) 对 公民 通信 的 监控 ,Zimmerman 在 1991 年 发 布 了 基 
于 IDEA 的 免费 邮件 加 密 软 件 PGP。 
总 之 ,在 实际 应 用 方面 ,古典 密码 算法 有 替代 加 密 和 置换 加 密 ; 对 称 加 密 算 法 包括 DES 
和 AES; 非 对 称 加 密 算法 包括 RSA .背包 密码 .Rabin 密码 和 椭圆 曲线 等 。 目 前 数据 通信 中 
使 用 最 普遍 的 算法 有 DES 算法 和 RSA 算法 等 。 


3.1.2 密码 学 的 基本 知识 


密码 学 的 基本 目的 是 使 得 两 个 在 不 安全 信道 中 通信 的 人 ,通常 称 为 Alice 和 Bob, 以 一 
种 使 他 们 的 敌手 Oscar 不 能 明白 和 理解 通信 内 容 的 方式 进行 通信 。 不 安全 信道 在 实际 中 是 
普遍 存在 的 ,如 电话 线 或 计算 机 网 络 。Alice 发 送 给 Bob 的 信息 ,通常 称 为 明文 (Plaintext)， 
如 英文 单词 .数据 或 符号 。Alice 使 用 预先 商量 好 的 密 钥 (Key) 对 明文 进行 加 密 , 加 密 过 的 
明文 称 为 密 文 (Ciphertext) ,Alice 将 密 文通 过 信道 发 送 给 Bob。 对 于 敌手 Oscar 来 说 ,他 可 
以 窃听 到 信道 中 Alice 发 送 的 密 文 ,但 是 无 法 知道 其 所 对 应 的 明文 ; 而 对 于 接收 者 Bob ,由 
于 知道 密 钥 ,可 以 对 密 文 进行 解密 ,从 而 获得 明文 。 图 3-4 给 出 加 密 通信 的 基本 过 程 ,包括 
加 密 算法 EE、 解密 算法 D、 明 文 M 和 密 文 C; 要 传输 明文 M, 首 先 要 加 密 得 到 密 文 C, 即 
C 二 E(M) ,接收 者 收 到 C 后 ,要 对 其 进行 解密 , 即 D(C) 一 M, 为 了 保证 将 明文 恢复 ,要 求 


一 -此 = :PP 一 门 ] 


明文 MM 加 密 算法 E 解密 算法 DD 明文 MM 
图 3-4 加 密 通 信 的 基本 过 程 


1. 基本 概念 

明文 消息 (Plaintext) : 未 加 密 的 原 消息 ,简称 明文 。 

密 文 消息 (Ciphertext) : 加 密 后 的 消息 .简称 密 文 。 

加 密 (Encryption) : 明文 到 密 文 的 变换 过 程 。 

解密 (Decryption) : 密 文 到 明文 的 恢复 过 程 。 

加 密 算法 (Encryption Algorithm) : 对 明文 进行 加 密 时 所 采用 的 一 组 规则 或 变换 。 
解密 算法 (Decryption Algorithm) : 对 密 文 进行 解密 时 所 采用 的 一 组 规则 或 变换 。 
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密码 算法 强度 (Algorithm Strength) : 对 给 定 密码 算法 的 攻击 难度 。 

密 钥 (Key): 加 解密 过 程 中 只 有 发 送 者 和 接收 者 知道 的 关键 信息 ,分 为 加 密 密 钥 
(Encryption Key) 和 解密 密 钥 (Decryption Key)。 

密码 分 析 (Cryptanalysis) : 虽然 不 知道 系统 所 用 的 密 钥 ,但 通过 分 析 可 能 从 截获 的 密 
文中 推断 出 原来 的 明文 ,这 一 过 程 称 为 密码 分 析 。 

一 个 密码 系统 (或 称 为 密码 体制 ,Cryptosystem) 由 加 密 算法 、 解 密 算法 、 明 文 空间 (全 体 
明文 的 集合 ) 、 密 文 空间 (全 体 密 文 的 集合 ) 和 和 密 钥 空间 (全 体 密 钥 的 集合 ) 组 成 。 

什么 是 密码 学 ? 密码 学 (Cryptology) 是 研究 如 何 实现 秘密 通信 的 科学 ,包含 密码 编码 
学 和 密码 分 析 学 。 密 码 编码 学 (Cryptography) 是 研究 对 信息 进行 编码 以 实现 信息 隐藏 ; 密 
码 分 析 学 (Cryptanalytics) 是 研究 通过 密 文 获 取 对 应 的 明文 信息 。 

2. 密码 技术 的 基本 应 用 

密码 技术 不 仅 用 于 对 网 上 传送 数据 的 加 解密 ,也 用 于 认证 (认证 信息 的 加 解密 ) 数字 签 
名 、 完 整 性 以 及 SSL( 安 全 套 接 字 )、SET( 安 全 电子 交易 )、S/MIME( 安 全 电子 邮件 ) 等 安全 
通信 标准 和 IPSec 安全 协议 中 ,因此 密码 技术 是 网 络 安全 的 基础 。 其 基本 的 应 用 如 下 。 

(1) 用 加 密 来 保护 信息 。 利 用 密码 变换 将 明文 变换 成 只 有 合法 者 才能 恢复 的 密 文 ,这 
是 密码 的 最 基本 的 功能 。 利 用 密码 技术 对 信息 进行 加 密 是 最 常用 的 安全 交易 手段 。 

(2) 采用 密码 技术 对 发 送信 息 进行 验证 。 为 防止 传输 和 存储 的 消息 被 有 意 或 无 意 地 自 
改 , 采 用 密码 技术 对 消息 进行 运算 生成 消息 验证 码 (MAC), 附 在 消息 之 后 发 出 或 与 信息 一 
起 存储 ,对 信息 进行 认证 。 它 在 票据 防伪 中 具有 重要 应 用 (如 税务 的 金 税 系统 和 银行 的 支付 
密码 器 ) 。 

(3) 数字 签名 。 在 信息 时 代 , 电 子 信息 的 收发 使 过 去 所 依赖 的 个 人 特征 都 被 数字 代替 ， 
数字 签名 的 作用 有 两 点 : 一 是 接收 方 可 以 鉴别 发 送 方 的 真实 身份 , 且 发 送 方 事后 不 能 和 否认 
发 送 过 该 报 文 这 一 事实 ; 二 是 发 送 方 或 非法 发 送 者 不 能 伪造 、 自 改 报 文 。 数 字 签 名 并 非 用 
手书 签名 的 图 形 标志 ,而 是 采用 双重 加 密 的 方法 来 防伪 、 防 赖 。 根 据 采 用 的 加 密 技术 不 同 ， 
数字 签名 有 不 同 的 种 类 ,如 私 用 密 钥 的 数字 签名 、 公 开 密 钥 的 数字 签名 、 只 需 签名 的 数字 签 
名 数字 摘要 的 数字 签名 等 。 

(4) 身份 识别 。 当 用 户 登 录 计 算 机 系统 或 建立 最 初 的 传输 连接 时 ,用 户 需 要 证 明 他 的 
身份 ,典型 的 方法 是 采用 口令 机 制 来 确认 用 户 的 真实 身份 。 此 外 ,采用 数字 签名 也 能 够 进行 
身份 鉴别 ,数字 证 书 用 电子 手段 来 证 实 一 个 用 户 的 身份 和 对 网 络 资源 的 访问 权限 ,是 网 络 正 
常 运行 所 必需 的 。 在 电子 商务 系统 中 ,所 有 参与 活动 的 实体 都 需要 用 数字 证 书 来 表明 自己 
的 身份 。 

3. 密码 学 的 体制 

按 密 钥 使 用 的 数量 不 同 , 将 密码 体制 分 为 对 称 密码 体系 (Symmetric) (又 称 为 单 钥 密 
码 ) 和 非 对 称 密码 体系 (Asymmetric)( 又 称 为 公 钥 密码 ) 。 

在 对 称 密码 体系 中 ,加 密 密 钥 和 解密 密 钥 相同 ,彼此 之 间 很 容易 相互 确定 。 对 于 对 称 密 
码 而 言 , 按 照明 文 加 密 方式 的 不 同 ,又 可 分 为 分 组 密码 (Block Cipher) 和 流 密码 (Stream 
Cipher) 。 流 密码 是 指 将 明文 消息 按 字符 逐 位 地 进行 加 密 。 分 组 密码 是 指 将 明文 消息 分 组 
(每 组 含有 多 个 字符 ) 逐 组 地 进行 加 密 。 对 称 密 码 加 密 过 程 如 图 3-5 所 示 。 
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图 3-5 对 称 密码 加 密 示意 


在 公 钥 密码 体系 中 ,加 密 密 钥 ( 又 称 为 公 钥 ,Public Key) 和 解密 密 钥 (又 称 为 私 钥 ， 
Private Key) 不 同 , 从 一 个 密 钥 很 难 推出 另 一 个 密 钥 ,可 将 加 密 能 力 和 解密 能 力 分 开 , 不 需 
要 通过 专门 的 安全 通道 来 传送 密 钥 。 大 多 数 公 钥 密码 属于 分 组 密码 。 公 钥 密 码 加 密 过 程 如 
图 3-6 所 示 。 


公 钥 私 钥 


ODO 


图 3-6 ” 公 钥 密码 加 密 示 意图 


对 称 密码 安全 性 高 .速度 快 , 适 用 于 数据 量 较 大 的 保密 通信 ,缺点 是 随 着 网 络 规模 扩大 ， 
密 钥 管 理 成 为 一 个 难点 。 公 钥 密 码 常用 于 数字 签名 、 密 钥 分 发 等 ,缺点 是 算法 比较 复杂 ,加 
密 解密 速度 慢 , 优 点 是 简化 了 密 钥 管理 的 问题 。 网 络 中 的 加 密 普遍 采用 对 称 密码 和 公 钥 密 
码 相 结合 的 混合 密码 体制 , 即 加 解密 采用 对 称 密码 , 密 钥 传 送 采 用 公 钥 密码 ,这 样 既 解决 了 
密 钥 管理 的 难题 ,又 解决 了 加 解密 速度 慢 的 问题 。 

4. 对 密码 的 攻击 

对 密码 的 攻击 是 指 密 文 分 析 者 在 不 知道 密 钥 的 情况 下 ,从 密 文 恢复 出 明文 。 成 功 的 密 
码 分 析 不 仅 能 够 恢复 消息 明文 和 密 钥 ,而 且 能 够 发 现 密码 体制 的 弱点 ,从 而 控制 通信 。 常 见 
的 密码 分 析 方法 有 以 下 四 类 。 

(1) 唯 密 文 攻击 (Ciphertext Only) 。 密 码 破 译 者 除了 拥有 截获 的 密 文 , 以 及 对 密码 体 
制 和 密 文 信息 的 一 般 了 解 外 ,没有 什么 其 他 可 以 利用 的 信息 用 于 破译 密码 。 在 这 种 情况 下 
进行 密码 破译 是 最 困难 的 ,经 不 起 这 种 攻击 的 密码 体制 被 认为 是 完全 不 保密 的 。 

(2) 已 知 明文 攻击 (Known Plaintext) 。 密 码 破译 者 不 仅 掌握 了 相当 数量 的 密 文 , 还 有 
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一 些 已 知 的 明文 - 密 文 对 (通过 各 种 手段 得 到 的 ) 可 供 利 用 。 现 代 的 密码 体制 (基本 要 求 ) 不 
仅 要 经 受 住 唯 密 文 攻击 ,而且 要 经 受 得 住 已 知 明文 攻击 。 

(3) 选择 明文 攻击 (Chosen Plaintext) 。 密 码 破 译 者 不 仅 能 够 获得 一 定数 量 的 明文 - 密 
文 对 ,还 可 以 用 它 选择 的 任何 明文 ,在 同一 未 知 密 钥 的 情况 下 加 密 相应 的 密 文 。 密 码 破 译 者 
暂时 控制 加 密 机 。 

(4) 选择 密 文 攻击 (Chosen Ciphertext)。 密 码 破译 者 能 选择 不 同 的 被 加 密 的 密 文 ,并 
还 可 得 到 对 应 的 解密 的 明文 , 据 此 破译 密 钥 及 其 他 密 文 。 密 码 破 译 者 暂时 控制 解密 机 。 

一 个 好 的 密码 系统 应 该 满足 下 列 要 求 : 系统 即使 理论 上 达 不 到 不 可 破 , 实 际 上 也 要 
做 到 不 可 破 。 也 就 是 说 ,从 截获 的 密 文 或 已 知 的 明文 - 密 文 对 ,要 确定 密 钥 或 任何 明文 在 计 
算 上 是 不 可 行 的 。@ 系 统 的 保密 性 是 依赖 于 密 钥 的 ,而 不 是 依赖 于 对 加 密 体制 或 算法 的 保 
密 。@ 加 密 和 解密 算法 适用 于 密 钥 空 间 的 所 有 元 素 。@ 系 统 既 易于 实现 又 便于 使 用 。 


3.2 ”对称 密码 体制 


在 对 称 加 密 体制 中 ,加 密 算法 EE 和 解密 算法 D 使 用 相同 的 密 钥 &, 如 图 3-7 所 示 。 发 送 
方 Alice 利用 加 密 算 法 E 和 密 钥 & 将 明文 mr 加 密 成 密 文 c, 即 c 二 E(k,m)。 接 收 方 Bob 利 
用 解密 算法 D 和 密 钥 k 将 密 文 c 解密 成 明文 , 即 m= 二 Dl(k,c)。 因 此 ,在 对 称 加 密 体制 中 ， 
对 于 明文 mx, 有 DG(k,E(k,m)) 二 m。 


图 3-7 对 称 密码 体制 


对 称 密码 体制 根据 对 明文 加 密 方式 的 不 同 又 分 为 流 密码 和 分 组 密码 。 流 密码 的 基本 思 
想 是 按 比 特 位 同时 进行 加 解密 ,利用 密 钥 kK 产生 一 个 密 钥 流 Z= Z,Z:…', 并 使 用 如 下 规则 
加 密 明 文 串 : X==X1X2… ,Y= 二 Yo… 二 Ea (Xi)Ezs (Xs)…。 分 组 密码 按 固定 长 度 ( 若 干 
比特 64B、128B) 对 明文 进行 分 组 ,系统 对 不 同 的 组 采用 同样 的 密 钥 KK 来 同时 进行 加 解密 。 
设 密 文 组 为 Y 二 YY,…Y, , 则 对 明文 组 久 二 XXX,…X,。 用 密 钥 K 加 密 可 得 到 YY 二 Ex (Xi) 
Exk (Xs)…Ex(X,)。 其 示意 图 分 别 如 图 3-8 和 图 3-9 所 示 。 

1. 维基 尼 亚 密码 

维基 尼 亚 密 码 是 古典 密码 的 典型 代表 ,这 是 一 个 多 表 替 换 密码 ,其 基本 原理 如 图 3-10 
所 示 。 图 中 明文 是 "MESSAGE FROM…”, 密 钥 是 WHITE. 对 应 的 密码 文 是 “ILALECL 
NKS…”。 明 文 第 一 个 字母 为 M, 则 先 在 表格 中 找到 M 列 。 由 于 密 钥 的 第 一 个 字母 为 W， 
于 是 在 表格 中 找到 W 行 ,W 行 与 M 列 交叉 处 字母 为 1, 密 文 就 为 1。 解密 方法 , 密 钥 在 W 行 
找到 密 文 1, 对 应 的 列 为 M, 即 为 明文 。 古 典 密 码 在 历史 上 发 挥 了 巨大 作用 ,香农 曾 把 古典 
密码 的 编制 思想 概括 为 “混淆 "和 “扩散 ”, 这 种 思想 对 于 现代 密码 编制 仍 具有 非常 重要 的 指 
导 意 义 。 
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Ciphertext Bitstream 


图 3-8 流 密码 示意 


二 b | 一 ~ 明文 分 组 


密 钥 人 
单个 分 组 加 密 -一 kb 


密 文 分 组 一 一 | nb nb 


图 3-9 分 组 密码 示意 


ABCDEFGHIJKLMNOPQRSTUVWXYZ plaintext alphabet 
ABCDEFGHIJKLMNOPQRSTUVWXYZ 
BCDEFGHIJKLMNOPOQRSTUVWXYZA 
CDEFGHIJKLMNOPQRSTUVWXYZAB a 
DEFGHIJKLMNOPQRSTUVWXYZABC Vigenere square 
人 TUVWXYZRABCD 
GHIJKLMNOPQRSTUVWXYZABCDE 
GHIJKLMNOPQRSTUVWXYZABCDEF 


HIT NOPQRSTUVWXYZABCDEFG Key: WHITE 
IJKL IOPQRSTUVWXY BCDEFGH 
JKLMNOPQRSTUVWXYZABCDEFGHI 
KLMNOPQRSTUVWXYZABCDEFGHIJ 


LMNOPQRSTUVWXYZABCDEFGHIJK MESSAGE FROM ... 
MNOPQRSTUVWXYZABCDEFGHIJKL 
NOPQRSTUVWXYZABCDEFGHIJKLM WHITEWH ITEW 


OPQRSTUVWXYZABCDEFGHI JKLMN 
PQRSTUVWXYZABCDEFGHIJKLMNO ILALECL NKSI 
QRSTUVWXYZABCDEFGHIJKLMNOP 
RSTUVWXYZABCDEFGHIJKLMNOPOQ 
STUVWXYZABCDEFGHIJKLMNOPQR 
TUVWXYZABCDEFGHI IBDMNOPQRS 
UVWXYZABCDEFGHIJKLMNOPQRST 
VWXYZARBRCDEFGHIJKLMNOPQRSTU 
训 芝 六 表 全 DO 
XYZABCDEFGHIJKLMNOPQRSTUVW 
YZABCDEFGHIJRKLMNOPQRSTUVWX 
ZABCDEFGHIJKLMNOPQRSTUVWXY = 


图 3-10 维基 尼 亚 密码 示意 


2. 数据 加 密 标准 

数据 加 密 标准 (Data Encryption Standard,DES) 是 最 著名 的 分 组 加 密 算法 之 一 。1977 
年 的 FIPS PUB 46 中 给 出 了 DES 的 完整 描述 。DES 的 明文 分 组 长 度 为 64b, 密 钥 长 度 也 
是 64b, 其 中 每 8b 有 一 位 奇偶 校 验 位 ,因此 有 效 密 钥 长 度 为 56b,. 加 密 后 产生 64b 的 密 文 分 
组 ,其 安全 性 依赖 于 密 钥 的 保密 程度 。 加 密 分 为 三 个 阶段 ,首先 是 一 个 初始 置换 IP, 用 于 重 
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排 64b 的 明文 分 组 ; 然后 进行 相同 功能 的 16 轮 变换 ,第 16 轮 变换 的 输出 分 左右 两 半 ,并 被 
交换 次 序 ; 最 后 经 过 一 个 逆 置 换 IP ,产生 最 终 的 64b 密 文 。DES 加 密 算法 的 基本 过 程 如 
图 3-11 所 示 。 框 图 如 图 3-12 所 示 。 
64b 明 文 56b 密 钥 

1 1 
置换 选择 2 )= 一 一 左 循环 移 位 ) 

1 
置换 选择 六 (人 左 循环 移 位 ) 


输入 64b 明 文 数据 


在 密 钥 控制 下 16 轮 迭代 | C i ye 置换 选择 2 )~ ( 二 ) 
| 交换 左 、 右 32b C EE ) 
初始 逆 置 换 IP-! 逆 初 始 置 换 
图 3-11 DES 加 密 算法 图 3-12 DES 加 密 算法 框图 
基本 过 程 


DES 的 16 轮 加 密 变换 中 每 一 轮 变 换 的 结构 如 图 3-13 所 示 。 


一 32b 一 一 32b 一 一 28b 一 一 28b 一 
Zr Ci Di 
左 移 位 左 移 位 


CC 


图 3-13 ”DES 加 密 算法 的 轮 结构 
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每 一 轮 加 密 过 程 可 用 数学 表达 式 表述 为 了 一 尽 一 1,Ri 一 了 一 1 四 FCR, 一 1,K;)。 
图 3-12 和 图 3-13 中 用 到 的 初始 置换 IP、 初 始 逆 置换 IP 扩展 运算 表 下 和 置换 运算 P 分 
别 见 表 3-2 一 表 3-5。 函 数 F(R,K) 的 计算 过 程 如 图 3-14 所 示 。 
表 3-2 初始 置换 IP 表 3-3 初始 逆 置 换 IP' 


58 50 42 34 26 18 10 2 40 8 48 16 56 24 64 32 
60 52 44 36 28 20 12 4 39 7 47 15 5 2 63 31 
62 54 46 38 30 22 14 6 38 6 46 14 54 22 62 30 
64 56 48 40 32 24 16 8 3% 区 
57 49 41 33 25 17 9 1 36 4 44 12 52 20 60 28 
59 S51 43 35 27 19 1 3 35 3 43 11 51 19 59 27 
61 53 45 37 2 21 13 5 34 2 42 10 50 18 58 26 
63 55 47 39 31 23 15 7 8 LV 前 9 49 17 57 25 
表 3-4 轮 结构 扩展 置换 表 3-5 轮 结构 置换 运算 P 

32 2 9 4 5 16 7 20 | 

4 5 6 7 8 9 29 12 28 17 

8 9 10 9 访 13 1 15 23 26 

也 13 14 15 16 到 5 18 31 10 

16 17 18 19 20 21 志 8 24 14 

20 2 2 23 24 25 32 27 3 9 

24 25 26 27 28 29 19 13 30 6 

28 29 30 31 32 tt 22 11 4 25 

R(32b) 
48b R(48b) 


CD (SD) CI) Ch) Co) (Ce) CH) Ca) 


32b 


图 3-14 函数 F(R,K) 的 计算 过 程 
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在 计算 F(CR ,KR) 的 过 程 中 ,要 用 到 8 个 S 盒 。 这 8 个 S 盒 的 具体 定义 见 表 3-6 。 
表 3-6 DES 中 的 8 个 S 盒 


区 动 医治 区 二 医 蛋 医 到 医 汉 医 直 医 到 医 二 区 二 攻 本 7 二 医 站 可 医 本 医 下 
0 11 4l13| 1| 22115111| s| sllil el|12 | 
1 1 Fl | tol wl | | | | | 
3 | 入 1|14| 8|13| 6| 21u|lis|12 7 10| 5| 0 
3|115|12| 8| 2 9| 1| 7|5lalslall ol6las 
0|131| 1| 8|14 Ti 2|13|12| o| s|10 
EE 13| 4| 7|15| 2 14 | 12 1 | 10 9|31| 5 
2 14| 7|31|1o 5 12 | 6 避 | 这 | 最 
区 0 | 于 | 从 | 二 | 生 | 名 | 强 间 | 有 | 下 5|14| 9 
0 | 10 14| 6 15 13|12| 7|1| 4 2| 8 
ss 11113123| 7 9| 3 人 | 天 | | | ||| 所 :| 怠 
2113| 6| 4| 9| sl|1| 3 耶 于 | 滩 | | | 0 | | 却 
| | | | | | 4| 15| 14 11| 5| 2|12 
0|7|31|1|3| ol 6| 9|ano Pa 王 | 到 | 二 | 下 
silllislsinlslesl ol 4 7 2 2 1 vu 
2|110| 6|l 9 ol12ln| 7|l13|l1s5| 1| 3|14| 5|2 4 
| | | 
ol 2|12| 4| 1 7|1ila 6| s| s| 3|15|13| of14| 9 
s | 1 3222| 4| 7 5| ol15|10 9| 8| 6 
名 | 本 | 受 | 于 | 天 | 王 | 可 8|15| 9|12|5 3| o|14 
sw slis|l z| 1|u 13| 6|15| ol 9li10| 4| 5|3 
0 | 12 10|15| 9| 2 sl 0 二 | sl 二 | | 71 sw 
1|1|l15| 4| 2| 7|12 区 | | | 党 | 天 外 入 | 省 
3 2 | ous sz sl 3 7 ol 4 1l13ln 6 
ys | 法 | sl ll 9 ss ol | | TY| | | 0 8 Ls 
订 | 坟 | | 名 | 和 5:| 信访 站- 祈 | 站 :| 二 5|1o| 6| 1 
| 丰台 让 -次 | 本 | 总 10|14| 3| 5|1| 2|115| 8| 6 
So ru 6 so ss 9s 
3| 6|11|13|8 4|10| 7| 9 5| 6 二 | 下 2s| | 
0|13| 2| 8| 4|6|11|1| 1|1| 9| 3|14|5 到 | 有 
1 和 这 | 区 :| .和 | 酌 | 各 | 到 二 小 划 | 6 | | | 汉 
ll 11| 4| 1 到 由 uy 你 | 6 10 | 13 | 15 5| 8 
3 | 好 


对 每 个 盒 S;, 其 6b 输入 中 ,第 1 个 和 第 6 个 比特 形成 一 个 2 位 二 进 制 数 ,用 来 选择 5; 
的 4 个 代 换 中 的 一 个 。6b 输入 中 ,中 间 4 位 用 来 选择 列 。 行 和 列 选 定 后 ,得 到 其 交叉 位 置 
的 十 进 制 数 , 将 这 个 数 表示 为 4 位 二 进 制 数 即 得 这 一 S 盒 的 输出 。 例 如 ,Si 的 输入 为 
011001 , 行 选 为 01( 即 第 1 行 ) , 列 选 为 1100( 即 第 12 列 ) ,行列 交叉 位 置 的 数 为 9, 其 4 位 二 
进 制 数 表示 为 1001, 所 以 Si 的 输出 为 1001。 

DES 16 轮 迭 代 中 ,每 一 轮子 密 钥 K; 的 长 度 都 是 48b。 输 入 的 56b 密 钥 首 先 经 过 一 个 
置换 PC-1, 然 后 将 置换 后 的 56b 分 为 各 为 28b 的 左 、 右 两 半 , 分 别 记 为 Cv 和 D。。 在 第 i 轮 
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分 别 对 Ci-: 和 D,-: 进 行 左 循环 移 位 ,所 移 位 数 由 表 给 出 。 移 位 后 的 结果 作为 求 下 一 轮子 密 


钥 的 输入 ,同时 也 作为 置换 选择 PC-2 的 输入 。 通 过 置换 选择 2 产生 的 48b 的 K;, 即 为 本 轮 
的 子 密 钥 ,作为 函数 F(R;_1,K;) 的 输入 。 两 个 置换 PC-1 和 PC-2 分 别 见 表 3-7 和 表 3-8。 
每 一 轮 左 循环 移 位 数 见 表 3-9。 
表 3-7 PC-1 
57 49 41 33 25 17 9 
1 58 50 42 34 26 18 
10 2 59 51 43 35 2Y 
19 11 3 60 52 44 36 
63 55 47 39 31 23 15 
62 54 46 38 30 22 
14 6 61 53 45 37 29 
21 13 6 28 20 12 4 
表 3-8 PC-2 
14 17 11 24 和 5 
3 28 15 6 21 10 
23 19 12 4 26 8 
16 全 27 20 13 2 
41 52 31 37 47 55 
30 40 51 45 33 48 
44 49 39 56 34 53 
46 42 50 36 29 32 


表 3-9 左 循环 移 位 数 


表 3-10 一 些 著名 的 分 组 密码 算法 


算法 名 称 分 组 长 /b 密 钥 长 /b 
DES(Data Encryption Standard,IBM) 64 56 
Skipjack( NSA ,clipper chip, was classified) 64 80 
3DES(Triple DES) 64 168 
IDEA(Lai/Massey, ETH Ziirich) 64 128 
CAST(Canada) 64 128 
Blowfish(Bruce Schneier) 64 128 一 448 
RC2(Ron Rivest, RSA) 64 40 一 1024 
RC5(Ron Rivest, RSA) 64 一 256 64 一 256 
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DES 的 解密 和 加 密使 用 同一 算法 ,但 子 密 钥 使 用 的 顺序 相反 。 

DES 已 走 到 了 它 生命 的 尽头 ,其 56b 密 钥 实在 太 小 。2000 年 10 月 ,美国 国家 标准 技术 
研究 所 (NIST) 选 择 Rijndael 密码 作为 高 级 加 密 标准 (AES)。Rijndael 密码 是 一 种 迭代 型 
分 组 密码 ,由 比利时 密码 学 家 Joan Daemon 和 Vincent Rijmen 设计 ,使 用 了 有 限 域 GF(28) 
上 的 算术 运算 。 数 据 分 组 长 度 和 密 钥 长 度 都 可 变 ,并 可 独立 指定 为 128b、192b 或 256b, 随 
着 分 组 长 度 不 同 迭 代 次 数 也 不 同 。Rijndael 密码 可 在 很 多 处 理 器 和 专用 硬件 上 高 效 地 
实现 。 

对 称 密码 具有 加 解密 速度 快 、 密 钥 短 、 易 于 硬件 或 其 他 机 械 装置 实现 等 优点 ,但 这 种 算 
法 初始 化 比较 困难 ,系统 需要 的 密 钥 量 也 很 大 。 表 3-10 给 出 了 一 些 历 史上 著名 的 分 组 密码 
算法 ,著名 的 电子 邮件 安全 软件 PGP(Pretty Good Privacy) 就 采用 了 IDEA 算法 进行 数据 
加 密 。 

流行 的 经 典 DES 软件 工具 很 多 ,DES Tool 演示 加 密 、 解 密 效果 如 图 3-15 所 示 。 


i DES Tool by TinXueTuan 


DES 加 密 解 密 工 具 2. 0 >#wzoos 


字符 中 加 窑 
窗 钥 1 : |p0o9Bu7 ] 口 使用 3DES 
全 重文 以 十 六 进 制 显示 人 〇 密 文 以 进 制 显 示 。。 人 密 文 以 原始 字符 显示 
解密 [到 清空 名 文 [清空 所 有 
明文 : 密 文 : 
qazwsxedcrfvtgbyhnujmik,ol.p;/["]#1234567890 FES27F9E152A01EDEE3D1B208B765B94375173C8737E4 
:68839B920FA12FB8: 


E70B6759CE8B2DEt 49D120668429E6 
70F041 


文件 加 密 
宪 钥 1: | 
宇文 件 路 径 : | 
目的 文件 路 径 : [ 


图 3-15 ”DES Tool 加 解密 效果 


3.3 公 钥 密码 体制 


在 对 称 密码 体制 中 ,加 密 密 钥 和 解密 密 钥 相同 或 者 说 通过 加 密 密 钥 进行 简单 的 推导 和 
运算 后 能 够 得 到 解密 密 钥 。 在 对 称 密 码 系统 中 ,消息 的 发 送 方 和 接收 方 必须 在 密 文 传输 之 
前 通过 安全 隧道 进行 密 钥 传输 ,但 是 由 于 实际 的 传输 信道 的 安全 性 并 不 理想 ,所 以 密 钥 在 传 
输 的 过 程 中 可 能 会 暴露 ,于 是 提出 了 公 钥 密码 体制 。 
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在 公 钥 密码 体制 中 ,每 一 个 用 户 都 拥有 一 对 个 人 密 钥 &= (pk,sk) ,其 中 pk 是 公开 的 ， 
任何 用 户 都 可 以 知道 ,sk 是 保密 的 ,只 有 拥有 者 本 人 知道 。 假 如 Alice 要 把 消息 m 保密 地 
发 送 给 Bob , 则 Alice 利用 Bob 的 公 钥 pk 加 密 明 文 m, 得 到 密 文 c= 二 E(pk,m), 并 把 密 文 传 
送 给 Bob。Bob 得 到 Alice 传 过 来 的 c 后 ,利用 自己 的 私 钥 sk 解密 密 文 c 得 到 明文 mm 王 
D(sk,c) ,如 图 3-16 所 示 。 


pk sk 


m—™| EPpkm) Fc 一 -| DGsk, c) 上 -一 一 717 


图 3-16 公 钥 密码 工作 原理 


公 钥 密码 体制 与 对 称 密码 体制 的 主要 区 别 是 前 者 的 加 密 密 钥 和 解密 密 钥 是 不 同 的 。 这 
个 不 同 导致 了 : 四 在 公 钥 密码 系统 中 , 密 钥 维 护 总 量 大 大 减少 ; 加 在 公 钥 密码 系统 中 可 以 
很 容易 实现 抗 否认 性 。 

在 公 钥 体制 中 ,用 户 的 公 钥 pk 和 私 钥 sk 是 紧密 关联 的 ,否则 加 密 后 的 数据 是 不 可 能 解 
密 的 。 但 在 安全 的 体制 中 ,这 种 关联 也 是 敌手 无 法 利用 的 , 即 想 通 过 公 钥 获取 私 钥 或 部 分 私 
钥 在 计算 上 是 不 可 行 的 。 公 钥 和 私 钥 的 关联 性 设计 一 般 是 建立 在 诸如 大 整数 分 解 、. 离 散 对 
数 求解 ,椭圆 曲线 上 的 离散 对 数 求解 等 困难 问题 上 的 ,假如 敌手 能 通过 公 钥 想 办 法 获取 私 钥 
信息 , 则 敌手 应 该 能 解决 数 千年 没 解决 的 数学 难题 。 

1. RSA 公 钥 密码 体制 

RSA 密码 体制 是 世界 上 应 用 最 为 广泛 的 公 钥 密码 体制 。RSA 体制 的 安全 性 基于 大 整 
数 分 解 的 困难 性 , 即 已 知 两 个 大 素数 p 和 g, 求 n 二 pgq 是 容易 的 ,而 由 nn 求 p 和 g 则 是 困 
难 的 。 

RSA 算法 包括 密 钥 生成 算法 和 加 解密 算法 两 部 分 。 密 钥 生 成 算法 如 下 : 

(1) 选择 不 同 的 大 素数 p 和 g, 要 保密 ,计算 n 二 pg, 将 nn 公开.g(n) 二 (p 一 1)(g 一 1)， 
9(n) 要 保密 。 

(2) 选择 e, 满 足 1 二 e 二 p(n), 且 gcd(y(n),e) 二 1,(n,e) 作 为 公 钥 ,将 e 公开 。 

(3) 通过 计算 ed 二 1 mod p(n), 且 e 关 d,d 三 e 一 1 mod p(n),(n,d) 作 为 私 钥 ,d 要 
保密 。 

RSA 加 解密 算法 如 下 : RSA 加 密 运 算 c 三 mr (mod n) ,RSA 解密 运算 m 三 cd Cmod n)。 
加 密 时 首先 应 对 明文 比特 串 分 组 ,使 得 每 个 分 组 对 应 的 十 进 制 数 小 于 nn, 即 分 组 长 度 小 于 。 

例 3-1 取 素 数 p 二 101,g 二 113, 则 

X= 101X 113= W413 
pn) = (p—1)(g—1) = 100X112 = 11 200 
选择 e 二 3533, 验 证 


gcd(e,g(n)) = gcd(3533,11 200) = 1 
de mod p(n) 一 3533- modg(n) = 6597 


(ne) = (11 413,3533) 


40 信息 安全 基础 


私 钥 
(nd) = (11 413,6597) 
加 入 要 加 密 的 明文 为 m 二 9276, 则 密 文 为 
cm (modn) = 9276”3(mod 11 413) = 5761 
接收 方 用 私 钥 解 密 明文 得 
7 = cd(mod 7) = 5761° (mod 11 413) = 9726 
基于 安全 考虑 ,目前 RSA 密码 体制 使 用 的 大 素数 至 少 要 在 512b 以 上 。 由 于 要 进行 大 
数 的 计算 ,RSA 运算 速度 较 慢 ,其 软件 实现 大 概要 比 DES 慢 100 倍 。 读 者 可 以 对 有 关 RSA 
算法 的 安全 性 作 进一步 分 析 , 也 可 参阅 其 他 文献 。 除 了 RSA 以 外 ,著名 的 公 钥 密码 算法 还 
有 Rabin 算法 (1979)、ElGamal 算法 (1985) ,椭圆 曲线 算法 ECC(1985) 、 基 于 格 的 NTRU 算 
法 (1996) 和 基于 6 次 扩 域 上 的 离散 对 数 XTR 算法 (2000) 等 。 
2. RSA 软件 工具 
流行 的 经 典 RSA 软件 工具 很 多 ,RSA Tool 演示 加 密 、 解 密 效 果 如 图 3-17 所 示 。 


“RSA-Tool 2 by +E! 


Keysize (Bts) 一 ~Publc Exp. (E) 一 Number Base 一 


IE 


Prime (P}: 

| 502243F9C32566F5365AF8466164F98664DECSA11C1FB69614F393E6813E80126CACB09241C2087 人 
|E36sD17B7A06F038C7D25AF4FD76A262763DD8ESFF23E0DE3 v 
Prmeor Ee EA Ce 要 
658198B4A9039146D727D9F27A70AACES82C7FC6042702CB38459FOC0DB11288254262F63FE74E64 二 | 
|1FD611A7BBCSF9D12351D07EB7BDSCD41CED64151746CCB0B 

Modulus (NT Exact size: = 1024 
99FOECBB5AC9B0E17FA17033E268B4F53DA636D7713D95F4606634D6626185559736176426C3730 国 
A6497C171771406674CC30EAFF5256F3E6F10E6A1A0591E18C8BDD2929E46E36F599686B489F36C6 三 
01262DF68153E04CF199FDC761C44CE001D4CC01D80COF606B06FF54241C38454414F6E3654C8C26 图 
Private Exp. (DY 
5FCD92659EFFBA76FC092A5CFFF47839CFA1464518116DCB6271FFF627EBF6C0E7955EE356561263 国 | 
3B163EA630A766ED53166963941631FA3700DCE50975ACC5647A7CD46E4F549B9EFA45F6F9836A4 = 
CAB1SE2E00994025EBECD7D6A8522D9A0D132600FAD93B92262E3F632C4C6AB1806E6C2BA099569 图 | 


Generate| | Iest | Factoring info (Prime factorsy 


See.D | [Eectorn 


Le | [sxal 厂 Use MPQS method only 厂 No time checks 


Done. You can test your keys right now. 


qz2wsx3edc4rfv5tgb6yhn7ujm8k,9ol DPI[=] 
Max.length (chars) of message can be (Keysize/3)-1, to make sure thet M < N. 
| 


33A59066153EBE814E3DF6B0935403087D9663445C023D5ACBBB0D776 国 | 
0993F1EA5E002f2523EBBE4986561DD53530500BCDD9E4A1296B5SDBF1 二 | 


SS 
| 
| 


[aa 


Message encrypted: C=-M*E MOD INL You may press Decrypt now. 


图 3-17 RSA 加 解密 效果 
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3.4 密 钥 管理 技术 


在 采用 密码 技术 保护 的 现代 通信 系统 中 ,密码 算法 通常 是 公开 的 ,因此 其 安全 性 就 取决 
于 对 密 钥 的 保护 。 密 钥 生 成 算法 的 强度 、 密 钥 的 长 度 、 密 钥 的 保密 和 安全 管理 是 保证 系统 安 
全 的 重要 因素 。 密 钥 管 理 的 任务 就 是 管理 密 钥 的 产生 到 销毁 全 过 程 ,包括 系统 初始 化 , 密 钥 
的 产生 存储 备份. 恢复 、 装 入 分配、 保护 更新、 控制 丢失、 吊销 和 销毁 等 。 所 有 密 钥 都 有 
生命 周期 ,这 是 因为 拥有 大 量 的 密 文 有 助 于 密码 分 析 。 一 个 密 钥 使 用 时 间 太 长 ,为 攻击 者 收 
集 大 量 密 文 提供 了 机 会 。 破 译 一 个 密 钥 需要 时 间 ,限制 密 钥 的 使 用 时 间 也 就 限制 了 密 钥 的 
破译 时 间 ,降低 了 密 钥 被 破译 的 可 能 性 。 从 网 络 应 用 来 看 , 密 钥 一 般 分 为 基本 密 钥 、 会 话 密 
钥 、 密 钥 加 密 密 钥 和 主机 密 钥 等 。 

基本 密 钥 又 称 初始 密 钥 ,由 用 户 选 定 或 由 系统 分 配 ,可 在 较 长 时 间 内 由 一 对 用 户 专门 使 
用 的 秘密 密 钥 ,也 称 用 户 密 钥 ; 基本 密 钥 既 要 安全 ,又 要 便于 更 换 。 会 话 密 钥 即 两 个 通信 终 
端 用 户 在 一 次 通话 或 交换 数据 时 所 用 的 密 钥 。 密 钥 加 密 密 钥 是 对 传送 的 会 话 或 文件 密 钥 进 
行 加 密 时 采用 的 密 钥 ,也 称 为 次 主 密 钥 、 辅 助 密 钥 或 密 钥 传送 密 钥 。 每 个 节点 都 分 配 有 一 个 
这 类 密 钥 ,为 了 安全 ,各 节点 的 密 钥 加 密 密 钥 应 该 互 不 相同 。 主 机 密 钥 是 对 密 钥 加 密 密 钥 进 
行 加 密 的 密 钥 , 存 于 主机 处 理 器 中 。 密 钥 长 度 的 选择 与 具体 的 应 用 有 关 , 密 钥 长 度 和 每 秒 可 
实现 的 搜索 密 钥 数 决定 了 密码 体制 的 安全 性 。 目 前 ,长 度 在 128 位 以 上 的 密 钥 才 是 安全 的 。 

密 钥 的 产生 必须 考虑 具体 密码 体制 的 公认 的 限制 。 在 网 络 系统 中 加 密 需 要 大 量 的 密 
钥 , 以 分 配给 各 主机 、 节 点 和 用 户 。 可 以 用 手工 的 方法 ,也 可 以 用 密 钥 产生 器 产生 密 钥 。 基 
本 密 钥 是 控制 和 产生 其 他 加 密 密 钥 的 密 钥 ,而 且 长 度 合适 其 安全 性 非常 关键 ,需要 保证 其 完 
全 随机 性 \ 不 可 重复 性 和 不 可 预测 性 。 基 本 密 钥 量 小 ,可 以 用 掷 硬币 等 方法 产生 。 密 钥 加 密 
密 钥 可 以 用 伪 随 机 数 产生 器 、 安 全 算法 等 产生 。 会 话 密 钥 数据 加 密 密 钥 可 在 密 钥 加 密 密 钥 
控制 下 通过 安全 算法 产生 。 


3.4.1 对 称 密 钥 的 分 配 


在 对 称 密码 体制 中 ,需要 通信 双方 共享 一 把 密 钥 ,而 且 为 了 防止 攻击 者 得 到 密 钥 ,还 必 
须 时 常 更 新 密 钥 。 相 关 密 钥 的 产生 和 分 发 办 法 不 外 乎 三 种 形式 : 四 一 方 产生 ,然后 安全 地 
传 给 另 一 方 ; @ 两 方 协商 产生 ; @@ 通 过 可 信赖 第 三 方 的 参与 产生 。 

上 述 第 一 种 办 法 的 使 用 在 现实 生活 中 是 很 普遍 的 。 很 多 机 构 的 内 部 网 络 在 投入 使 用 
时 ,其 初始 的 对 称 密 钥 往往 是 员工 的 身份 证 号 码 。 当 然 ,这 种 密 钥 的 传送 方式 的 安全 性 是 值 
得 商 椎 的 。 物 理 手段 亲自 递送 .通过 挂号 信 或 电子 邮件 传送 密 钥 等 方法 也 属于 这 种 类 型 。 
上 述 第 二 种 方法 也 是 可 以 实现 的 ,即便 是 参与 的 双方 处 在 不 安全 的 网 络 环境 下 。Diffie- 
Hellman 密 钥 协商 协议 提供 了 第 一 个 实用 的 解决 办 法 ,该 协议 能 使 互 不 认识 的 双方 通过 公 
共 信 道 建立 一 个 共享 的 密 钥 。 

Diffie-Hellman 密 钥 协商 协议 : 假设 p 是 一 个 大 素数 ,g 是 GF(p) 中 的 本 原 元 ,p 和 gg 
是 公开 的 。Alice 和 Bob 可 以 通过 执行 下 面 的 协议 建立 一 个 共享 密 钥 。 

(1) Alice 随机 选择 a, 满足 1 三 a 三 p 一 1. 计 算 c= 二 g* 并 把 c 传送 给 Bob。 
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(2) Bob 随机 选择 0, 满足 1<b<p 一 1, 计 算 d 二 g* 并 把 d 传送 给 Alice。 

(3) Alice 计算 共享 密 钥 人 = 二 必 一 g*。 

(4) Bob 计算 共享 密 钥 上 一 一 g*。 

Diffie-Hellman 密 钥 协商 是 一 种 指数 密 钥 交 换 , 其 安全 性 基于 循环 群 Z; 中 离散 对 数 难 
解 问题 。 

例 3-2 Diffie-Hellman 密 钥 协商 示例 。 

设 Alice 和 Bob 确定 了 两 个 素数 p 二 47,g 二 3。 

(1) Alice 随机 选择 4a 二 8, 计 算 c= 二 g* 二 3 mod 47 二 28, 并 把 c = 二 28 传送 给 Bob。 

(2) Bob 随机 选择 5 = 二 10, 计 算 d= 二 g*= 二 3” mod 47 王 17, 并 把 d 三 17 传送 给 Alice。 

(3) Alice 计算 共享 密 钥 k==d* = 二 17* mod 47 一 4。 

(4) Bob 计算 共享 密 钥 k= 二 必 = 二 28'? mod 47 一 4。 

当然 ,上 述 示例 中 选取 的 p 太 小 ,无 法 抗击 穷 举 攻击 。 实 用 中 的 p 应 该 选取 大 于 512b。 

Diffie-Hellman 密 钥 协商 协议 能 够 抗击 被 动 攻 击 , 但 假如 一 个 主动 攻击 者 Eve 处 在 
Alice 和 Bob 之 间 ,截获 Alice 发 给 Bob 的 消息 然后 扮演 Bob ,而 同样 又 对 Bob 扮演 Alice， 
则 Eve 能 成 功 实施 所 谓 的 “中 间 人 攻击 ”。 因 此 ,在 实际 应 用 中 ,Diffie-Hellman 密 钥 协 商 必 
须 结合 认证 技术 使 用 。 

上 述 第 三 种 方法 的 实施 ,需要 通信 双方 均 与 可 信赖 第 三 方 有 一 个 安全 的 通信 信道 。 如 
下 是 利用 可 信赖 第 三 方 构建 共享 密 钥 的 一 个 实例 。 

例 3-3 如 图 3-18 所 示 , 假 如 可 信赖 第 三 方 为 KDC, 提 供 密 钥 的 产生 、 鉴 别 、 分 发 等 服 
务 。 用 户 A、B 分 别 与 密 钥 分 配 中 心 KDC 有 一 个 共享 密 钥 Ka 和 Ks,A 希望 与 B 建立 一 个 
共享 密 钥 ,可 通过 以 下 几 步 来 完成 : 


Key 
Distribution 
Center(KDC) 


(1) Request|IN; 


Key Distribution 


steps (2) Exs[KsllRequestINillErs(Es, ID 人 


G3) Exs[KsllID,)] 


Responder 
B 


(3) Exs[N2] 
Authentication (5) EL 
steps 
图 3-18 通过 可 信和 有 赖 第 三 方 KDC 建立 会 话 密 钥 
(1) A 向 KDC 发 出 请 求 。 表 示 请 求 的 消息 由 两 个 数据 项 组 成 .第 一 项 是 A 和 B 的 身 


份 ,第 二 项 是 这 次 业务 的 唯一 识别 符 Ni ,Ni 为 一 个 随机 数 。 每 次 请 求 所 用 的 Ni 都 应 不 
同 , 以 防止 假冒 。 


(2) KDC 为 A 的 请 求 发 出 应 答 。 应 答 是 由 Ks 加 密 的 消息 ,消息 中 包括 A 希望 得 到 的 
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与 B 的 共享 密 钥 Ks 和 A 在 图 3-18 (1) 中 发 出 的 请 求 。 因 此 只 有 A 才能 成 功 地 解密 这 一 
消息 ,并 且 A 可 相信 这 一 消息 的 确 是 由 KDC 发 出 的 ,而 且 A 还 能 根据 一 次 性 随机 数 相信 自 
己 收 到 的 应 答 不 是 重 放 的 过 去 的 应 答 。 

(3) A 存储 密 钥 Ks, 并 向 B 转发 Ex, [LKs | IDA]。 因 为 转发 的 是 由 Ks 加 密 后 的 密 文 ， 
所 以 转发 过 程 不 会 被 窃听 。B 收 到 后 ,可 得 会 话 密 钥 Ks ,并 从 IDA 可 知 另 一 方 是 A ,而 且 还 
可 知道 Ks 的 确 来 自 KDC。 

(4) B 用 共享 密 钥 尺 s 加 密 另 一 个 一 次 性 随机 数 N, ,并 将 加 密 结果 发 送 给 A。 

(5) A 以 /CN;) 作 为 对 B 的 应 答 , 其 中 /是 对 N, 进行 某 种 变换 的 函数 ,并 将 应 答 用 密 
钥 Ks 加 密 后 发 送 给 B。 

上 述 协 议 中 ,第 (3) 步 完成 后 ,共享 密 钥 Ks 就 已 经 安全 地 分 配给 了 A 和 B, 第 (4)、(5) 
两 步 结合 第 (3) 步 执行 的 其 实 是 认证 功能 ,目的 是 使 B 相信 第 (3) 步 收 到 的 消息 不 是 一 个 
重 放 。 


3.4.2 数字 证 书 与 公 钥 基础 设施 


1. 数字 证 书 

在 使 用 公 钥 体制 的 环境 中 ,如 何 保证 验证 者 得 到 的 公 钥 是 真实 的 ? 一 个 切实 可 行 的 办 
法 是 使 用 数字 证 书 。《 现 代 汉 语词 典 ) 解 释 ,证 书 是 由 机 关 、 学 校 .团体 等 颁发 的 证 明 资 格 或 
权力 等 的 文件 。 我 们 在 生活 中 证 明 一 个 人 真实 身份 的 办 法 是 查验 由 公安 机 关 为 其 颁发 的 身 
份 证 。 数 字 证 书 也 称 公 钥 证 书 , 是 由 一 个 可 信 机 构 颁 发 的 、 证 明 公 钥 持 有 者 身份 的 一 个 电子 
凭据 。 如 图 3-19 所 示 ,可 信 机 构 在 详细 核实 用 户 身 份 后 ,利用 自己 的 私 钥 对 核实 的 内 容 m 
进行 签名 生成 S,(m,S) 即 为 持 有 者 的 数字 证 书 。 


证 书 颁发 
机 构 的 私 钥 


持 有 者 Bob 


m Bob 的 公 钥 信息 [| 


颁发 机 构 的 名 称 


颁发 机 构 的 签名 S | 


图 3-19 数字 证 书 颁发 示意 


证 书 中 m 的 内 容 一 般 包含 持 有 者 、 持 有 者 公 钥 、 签 发 者 、 签 发 者 使 用 的 签名 算法 标识 、 
证 书 序列 号 有效 期 限 等 ,目前 广泛 采用 的 是 X. 509 标准 。 图 3-20 是 一 个 典型 的 数字 证 书 
样式 。 

X. 509 公 钥 证 书 原始 的 含义 非常 简单 , 即 证 明 持 有 者 公 钥 的 真实 性 。 但 是 ,人 们 很 快 发 
现 ,在 许多 应 用 领域 ,比如 电子 政务 .电子 商务 应 用 中 ,需要 的 信息 远 不 止 身份 信息 ,尤其 是 
当 交 易 双 方 以 前 彼此 没有 过 任何 关系 的 时 候 。 在 这 种 情况 下 ,关于 一 个 人 的 权限 或 者 属性 
信息 远 比 其 身份 信息 更 为 重要 。 为 了 使 附加 信息 能 够 保存 在 证 书 中 ,X. 509 v4 引入 了 公 铀 
证 书 扩展 项 ,这 种 证 书 扩展 项 可 以 保存 任何 类 型 的 附加 数据 ,以 满足 应 用 的 需求 。 
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持 有 者 身份 信息 持 有 者 公 钥 


认证 中 心 标识 
期 限 
证 书 发 布 ID 号 


认证 中 心 (CA) 的 
数字 签名 


A 
图 3-20 X.509 数字 证 书 示 意 


数字 证 书 与 用 户 的 公 钥 是 紧密 绑 定 的 。 由 于 用 户 密 钥 的 使 用 是 有 期 限 的 ,因此 ,用 户 的 
数字 证 书 必 须要 随 用 户 密 钥 的 变更 而 变更 。 图 3-21 说 明了 这 种 变更 关系 。 


= | 密 钥 产生 
\ 证 书签 发 
a 密 钥 使 用 SE 
$ 一 一 ”证书 检验 


i 
&D “B=、 密 钥 过 期 
ey 


SS 


密 钥 更 新 ND 


图 3-21 数字 证 书 更 新 示意 


2. 公 钥 基础 设施 

若 上 述 数 字 证 书 能 在 网 络 环境 下 广泛 使 用 ,必须 解决 如 下 问题 : 

(1) 证 书 颁发 机 构 必 须 是 可 信 的 ,其 公 钥 也 必须 被 大 家 所 熟知 或 能 够 被 查证 。 

(2) 必须 提供 统一 的 接口 ,使 用 户 能 方便 地 使 用 基于 数字 证 书 的 加 密 、 签 名 等 安全 


服务 。 
(3) 一 个 证 书 颁发 机 构 所 支持 的 用 户 数量 是 有 限 的 ,多 个 证 书 颁发 机 构 需 要 解决 相互 
之 间 的 承认 与 信任 等 问题 。 


(4) 用 户 数字 证 书 中 公 钥 所 对 应 私 钥 有 可 能 被 泄露 或 过 期 ,因而 必须 要 有 一 套数 字 证 

公 钥 基础 设施 (Public Key Infrastructure,PKI) ,是 基于 公 钥 理论 和 技术 解决 上 述 问 题 
的 一 整套 方案 。PKI 的 构建 和 实施 主要 围绕 认证 机 构 (CA) 证书 和 证 书库 、 密 钥 备 份 及 恢 
复 系统 证书 作 废 处 理 系统 .证 书 历史 档案 系统 和 多 PKI 间 的 互 操作 性 来 进行 。 

认证 机 构 (CA) 是 PKI 的 核心 ,负责 发 放 、 更 新 、 撤 销 和 验证 证 书 。 大 型 公 钥 基础 设施 
往往 包含 多 个 CA , 当 一 个 CA 相信 其 他 的 公 钥 证 书 时 ,也 就 信任 该 CA 签发 的 所 有 证 书 。 
多 数 PKI 中 的 CA 是 按照 层次 结构 组 织 在 一 起 的 ,如 图 3-22 所 示 。 在 一 个 PKI 中 ,只 有 
一 个 根 CA, 通 过 这 种 方式 用 户 总 可 以 通过 根 CA 找到 一 条 连接 任意 一 个 CA 的 信任 
路 径 。 
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CA 
CA1 CA2 “0. CAn 
User 1 User2 Usern | 


图 3-22 CA 的 层次 结构 


不 同 的 PKI 体系 之 间 还 存在 互 操作 性 问题 。 交 叉 认 证 的 目的 就 是 在 多 个 PKI 域 之 间 
实现 互 操作 。 交 叉 认 证 实现 的 方法 有 多 种 : 一 种 方法 是 桥接 CA, 即 用 一 个 第 三 方 CA 作为 
桥 , 将 多 个 CA 连接 起 来 ,成 为 一 个 可 信任 的 统一 体 ; 另 一 种 方法 是 多 个 CA 的 根 CA 
(RCA) 互 相 签发 根 证 书 ,这 样 当 不 同 PKI 域 中 的 终端 用 户 沿 着 不 同 的 认证 链 检验 认证 到 根 
时 ,就 能 达到 互相 信任 的 目的 。 

3. 国家 网 络 信任 体系 建设 

诚信 是 市 场 经 济 的 基石 ,是 社会 文明 的 象征 。 诚 信 体 系 建设 包括 组 织 管理 法规 标准 、 
技术 保障 .基础 设施 等 方面 。 世 界 各 国都 十 分 重视 诚信 体系 的 建设 。 

在 网 络 空间 领域 ,以 数字 证 书 和 PKI 为 基础 ,以 解决 网 络 应 用 中 身份 认证 、 授 权 管 理 和 
责任 认定 等 为 目的 的 网 络 信任 体系 建设 得 到 了 世界 各 国 的 高 度 重视 。 我 国正 按照 国 办 发 
[2006]11 号 文件 要 求 ,在 全 国 稳步 推进 这 项 工作 ,并 且 已 经 在 报税 .报关 、 网 络 银行 .网 上 证 
券 . 网 上 支付 等 电子 商务 领域 取得 了 良好 的 应 用 效果 。 我 国电 子 政务 外 网 信任 体系 总 体 框 


架 如 图 3-23 所 示 。 
电子 政务 外 网 应 用 系统 


电 
部 了 乱 击 任 入 全 

外 策 信任 服务 支撑 平台 准 
网 法 规 
信 规 | 公 钥 基 础 设施 授权 管理 基础 设施 范 
任 (CA、~ KMC、 RA) (AA、 ARA) 

基础 设施 


图 3-23 我 国电 子 政务 外 网 信任 体系 总 体 框架 


从 图 3-23 不 难看 出 ,建立 国家 或 行业 范围 内 的 大 型 PKI 基础 设施 是 一 个 非常 庞大 的 工 
程 , 它 不 仅 涉及 技术 ,还 涉及 政策 ,法规 和 标准 等 方面 的 问题 。 目 前 我 国 CA 的 运营 尚 处 在 
各 自 为 政 、 自 成 体系 的 状态 ,没有 统一 的 证 书 分 类 ,分 级 规范 和 方法 ,各 电子 认证 机 构 间 不 能 
互 连 互通 ,缺乏 统一 技术 、 应 用 、 服 务 标准 ,国内 跨 区 域 . 跨 行业 的 各 CA 机 构 之 间 不 能 实现 
交叉 认证 。 因 此 ,推动 基于 数字 证 书 和 PKI 的 全 国 网 络 信任 体系 建设 ,有 效 打 击 网 络 犯罪 ， 
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还 有 很 长 的 路 要 走 。 
3.4.3 秘密 分 享 


在 导弹 控制 发 射 . 重 要 场所 通行 检验 等 情况 下 ,通常 必须 由 两 人 或 多 人 同时 参与 才能 生 
效 , 这 时 都 需要 将 密 钥 分 给 多 人 掌管 ,并 且 必 须 有 一 定 的 掌管 部 分 密 钥 的 人 同时 到 场 才能 恢 
复 这 一 密 钥 。 

秘密 分 享 (Secret Sharing) 是 信息 安全 和 数据 保密 中 的 一 项 重要 技术 , 它 在 重要 信息 和 
秘密 数据 的 安全 保存 、 传 输 及 合法 利用 中 起 着 非常 关键 的 作用 。 秘 密 分 享 的 概念 最 早 由 
Shamir 和 Blakey 独立 提出 。 基 本 的 秘密 分 享 方案 由 秘密 份额 的 分 配 算法 和 秘密 的 恢复 算 
法 构成 。 在 执行 秘密 份额 的 分 配 算法 时 ,分 发 者 (dealer) 将 秘密 分 割 成 若干 份额 (share 或 
piece, 或 shadow) 在 一 组 参与 者 (shareholder 或 participant) 中 进行 分 配 , 使 得 每 一 个 参与 
者 都 得 到 关于 该 秘密 的 一 个 秘密 份额 ; 秘密 的 恢复 算法 保证 只 有 参与 者 的 一 些 特定 子 集 
( 称 为 合格 子 集 或 接 入 结构 , qualified set 或 access structure) 才 能 正确 恢复 秘密 ,而 其 他 子 
集 不 能 恢复 秘密 ,其 至 得 不 到 关于 秘密 的 任何 有 用 信息 ,此 时 称 该 秘密 分 享 体制 是 完 
美的 。 

1. 门限 秘密 分 享 与 Shamir 方案 

在 秘密 分 享 系统 中 最 常见 的 是 门限 体制 。 已 提出 的 门限 体制 有 多 种 ,其 中 Shamir 的 
Lagrange 内 插 多 项 式 体制 .Blakey 的 矢量 体制 .Asmuth 等 人 的 同 余 类 体制 及 Karnin 等 人 
的 矩阵 法 体制 是 主要 代表 ,并 已 得 到 广泛 的 应 用 。 下 面 我 们 对 门限 体制 和 Shamir 方案 作 一 
一 介绍 。 

若 在 一 个 秘密 分 享 方案 中 ,秘密 被 分 成 个 部 分 信息 ,每 一 部 分 信息 由 一 个 参与 者 持 
有 ,使 得 由 A 个 或 多 于 A 个 参与 者 所 持 有 的 部 分 信息 可 重 构 s ,而 由 少 于 A 个 参与 者 所 持 有 
的 部 分 信息 则 无 法 重 构 s, 则 这 种 方案 称 为 (k,n) 秘 密 分 享 门限 方案 ,k 称 为 方案 的 门限 值 。 

Shamir 门限 方案 : 设 {Czi,y),…:(Czeyy)} 是 平面 上 个 点 构成 的 点 集 , 其 中 xz; ,i 二 
1,…, 均 不 相同 ,那么 在 平面 上 存在 一 个 唯一 的 & 一 1 次 多 项 式 /(z) 通 过 这 个 点 。 若 把 
密 钥 s 取 作 0) ,2 个子 密 钥 取 作 Fzi),i 一 1.2.…,2, 那 么 利用 其 中 的 任意 & 个子 密 钥 可 
重 构 f(x), 从 而 可 得 密 钥 ;。 

这 种 门限 方案 也 可 按 如 下 更 一 般 的 方式 来 构造 。 

设 GF(g) 是 一 有 限 域 ,其 中 g 是 一 大 素数 ,满足 g 三 n 十 1. 秘 密 s 是 在 GF(g)\{0} 上 均匀 
选取 的 一 个 随机 数 ,表示 为 ER GF(g)\{10)。k 一 1 个 系数 a ,as，…,as-1 的 选取 也 满足 
aER GF(g) \{0},i 二 1,2,…,k 一 1。 在 GF(g) 上 构造 一 个 上 一 1 次 多 项 式 f(x) 二 ao 十 
ER 

nn 个 参与 者 记 为 P,P,,… ,P,P; 分 配 到 的 子 密 钥 为 /(i)。 如 果 任 意 k 个 参与 者 要 想 
得 到 秘密 ; ,可 使 用 {Gi ,fi)) | 7 二 1,…,k} 构 造 如 下 的 线性 方程 组 : 

ao 十 aa) 十 …… 十 as) 和 一 大) 
ao 十 ai(zz) 十 … 十 ai-i(iz) 和 :一 ji) 


ao 十 ai( 才 ) 十 … 十 ai 人 CD) 导 :一 Fi) 


第 3 章 密码 学 基础 与 应 用 47 


因为 (1 二!) 均 不 相同 ,所 以 可 由 Lagrange 插值 公式 构造 如 下 的 多 项 式 : 
/w= DH)1 


zj 


7mod gq) 
从 而 可 得 秘密 ;二 /(0)。 

其 实 , 参 与 者 仅 需 知道 f(z) 的 常数 项 /(0) ,而 无 须知 道 整个 多 项 式 FCz) ,所 以 仅 需 以 
下 表达 式 就 可 求 出 s: 


大 大 
s= (i 76) [LL 于 mod gq) 
2 
k 一 1 个 参与 者 是 无 法 恢复 出 密 钥 * 的 ,读者 可 以 自己 进行 验证 。 

例 3-4 设 k=3,n 二 5,g 二 19,s 二 11, 多 项 式 为 f(x) 二 (7zx? 十 2x 十 11) mod 19。 
分 别 计算 : 

f(1) = (7+2+11) mod 19 = 20 mod 19=1 

f(2) = (28 十 4 十 11) mod 19 = 43 mod 19 一 5 

f(3) = (63 十 6 十 11) mod 19 = 80 mod 19 一 4 

f(4) = (112 十 8 十 11) mod 19 = 131 mod 19 = 17 


f(5) = (175 十 10 十 11) mod 19 = 196 mod 19 = 6 


| 


得 5 个 子 密 钥 。 
如 果 知 道 其 中 的 3 个 子 密 钥 /(2) = 二 5,/(3) 二 4,f(5) 二 6, 就 可 按 以 下 方式 重 构 f(x): 


5 一 3)(z 一 5) 5 人 3)(z—5) 5 (Zz 3)(z—5) 
(2—3)(2—5) 《一 人 (一 3 3 


一 5。(3mod 19)。(z 一 3)(z 一 5) 
一 5。13。(z 一 3)(Zz 一 5) 一 65(z 一 3)(z 一 5) 


4 (一 2)(Z 一 5) 4 2)(2 = 5) 4 20(z = 5) 
(3—2)(3—5) (1)(—2) 一 2 


一 4。(( 一 2)-mod 19)。(z 一 2)(z 一 5) 
4。9。(z 一 2)(z 一 5) 一 36(z 一 2)(z 一 5) 


一 一 6 (z 2)(z—3) 6 2 2)(z—3) 
(5—2)(5—3) (3)(2) 6 


=6。 (6 mod 19)。 (zx—2)(z—3) 
一 6。16。(z 一 2)(z 一 3) 一 96(z 一 2)(z 一 3) 


6 


所 以 
Cz) 一 [65(z 一 3)(z 一 5) 十 36(z 一 2)(z 一 5) 十 96(z 一 2)(z 一 3)]mod 19 
[8(z 一 3)(z 一 5 十 17(z 一 27(z 一 5) 十 (一 27(z 一 3)]mod 19 
一 (26z? 一 188z 十 296)mod 19 
三 7z? 十 2z 十 11 
从 而 得 秘密 为 ;二 11。 
2. 秘密 分 享 研究 


秘密 分 享 系统 理论 中 有 两 个 重要 问题 : 一 个 是 参与 者 的 接 入 结构 ; 另 一 个 是 给 予 参 与 
者 分 享 的 秘密 份额 大 小 。 任 何 体制 的 安全 性 都 归结 为 必须 保密 的 信息 量 。 显 然 ,车 每 个 参 
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与 者 所 分 享 的 秘密 太 大 ,分 配 算法 就 变 得 无 效 。 秘 密 共 享 方案 的 一 个 基本 问题 是 分 配给 参 
与 者 分 享 的 份额 的 界 。 这 可 用 系统 接 人 结构 的 信息 速率 表示 , 它 定义 为 采用 最 佳 分 配 算法 
时 分 给 任 一 参与 者 最 大 可 能 的 秘密 份额 值 。 信 息 速率 上 .下 界 是 秘密 分 享 体制 研究 中 的 一 
个 重要 课题 。 目 前 已 得 到 多 个 上 上、 下界 ,但 这 些 上 .下 界 之 间 的 间隙 还 相当 大 。 

门限 秘密 分 享 方案 只 有 在 所 有 分 享 者 具有 完全 平等 的 地 位 、 可 靠 性 和 安全 性 的 情况 下 
才 是 有 意义 的 ,因此 对 一 般 接 入 结构 的 秘密 分 享 的 研究 具有 广泛 的 现实 意义 。 在 已 有 的 一 
般 接 和 结构 的 秘密 分 享 方案 中 ,属于 多 个 最 小 合格 子 集 的 参与 者 需 持 有 同一 个 秘密 的 多 个 
秘密 份额 ,这 给 参与 者 带 来 了 不 便 ,特别 是 在 有 多 个 秘密 需要 在 同一 组 参与 者 中 分 享 时 ,这 
一 缺点 显得 尤为 突出 , 故 实用 性 较 差 。Ito、Saito 和 Nishizeki 证 明了 任何 接 入 结构 上 的 完美 
秘密 分 享 方案 。 

基本 的 秘密 分 享 模型 中 存在 两 个 主要 的 安全 问题 : 一 是 不 能 很 好 地 抵抗 分 享 者 行 骗 ， 
即 有 的 分 享 者 在 恢复 秘密 时 会 提供 假 的 份额 ,而 使 一 些 合格 子 集 的 成 员 不 能 恢复 出 正确 的 
秘密 ; 二 是 不 能 有 效 地 防止 分 发 者 行 骗 , 即 分 发 者 在 分 发 秘密 份额 时 可 能 会 给 某 些 分 享 者 
分 发 假 的 份额 。Chor 等 人 在 1985 年 提出 了 可 验证 秘密 分 享 (Verifiable Secret Sharing， 
VSS) 用 以 解决 分 发 者 欺骗 问题 ,每 个 成 员 能 够 在 不 重 构 秘密 的 情况 下 证 实 所 得 的 秘密 份额 
是 否 有 效 。 可 验证 秘密 分 享 值得 深入 研究 。 


3.5 认证 技术 


认证 技术 主要 用 于 防止 对 手 对 系统 进行 的 主动 攻击 ,如 伪装 、 帘 扰 等 ,这 对 于 开放 环境 
中 各 种 信息 系统 的 安全 性 尤为 重要 。 认 证 的 目的 有 两 个 方面 : 一 是 验证 信息 的 发 送 者 是 合 
法 的 ,而 不 是 冒充 的 , 即 实体 认证 ,包括 信 源 、 信 和 宿 的 认证 和 识别 ; 二 是 验证 消息 的 完整 性 ， 
验证 数据 在 传输 和 存储 的 过 程 中 是 否 被 算 改 、 重 放 和 延迟 等 。 


3.5.1 Hash 函数 


1.Hash 函数 的 概念 

在 前 面 的 章节 里 ,我 们 不 只 一 次 地 用 到 了 Hash 函数 ,已 经 初步 知道 了 这 是 一 类 单 向 
(计算 = 有 HGm) 是 容易 的 ,但 求 逆 运 算是 困难 的 ) 函 数 ,本 节 我 们 对 这 类 函数 做 进一步 讨 
论 。Hash 函数 及 二 甩 (m) 也 称 为 散 列 函 数 , 它 将 任意 长 度 的 报 文 m 映射 为 固定 长 度 的 输 
出 (摘要 ) ,另外 该 函数 除 满足 单 向 性 外 ,还 应 具备 下 列 两 项 条 件 之 一 : 

(1) 抗 弱 碰撞 性 。 对 固定 的 mm, 要 找到 .不 同 于 m 的 m ,使 得 在 计算 上 是 不 可 行 的 。 

(2) 抗 强 碰撞 性 。 要 找到 mr 和 mm ,使 得 在 计算 上 是 不 可 行 的 。 

显然 ,满足 (2) 的 Hash 函数 的 安全 性 要 求 更 高 .这 是 抗 生 日 攻击 的 要 求 。 有 关 Hash 函 
数 的 描述 可 如 图 3-24 所 示 。 

2. Hash 函数 的 构造 

可 以 用 很 多 办 法 构造 Hash 函数 ,但 使 用 最 多 的 是 迭代 型 结构 ,著名 的 MD-5、SHA-1 
等 都 是 基于 迭代 型 的 ,如 图 3-25 所 示 。 
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Hash Functions 


任意 长 度 的 
文件 或 消息 


1010111 
0110100 
11011101 


1010111 
0010100 
11011101 
00010101 售 


Hash Function 
固定 长 度 的 
消息 摘要 

文件 或 消息 中 有 一 位 改变 ， 应 该 引起 摘要 值 50% 的 位 的 改变 
图 3-24 Hash 函数 示意 


Document [ Pad | L 
| NXx512b 
Block 1 Block 2 Pe Block N 
512b 512b 512b 

MDS5$/SHA-1 MDS5/SHA-1 MD5/SHA-1 
IV Hash Hash Hash Hash | 一 … ”一 | Hash Hash 

Function Function Function 
IV 128/160b Initialization Vector Pad Padding 
Hash 128/160b Hash Value L 64b Document Length 


图 3-25 用 迭代 方法 构造 Hash 函数 示意 


函数 的 输入 M 被 分 为 工 个 分 组 Yo ,Zi ,… ,YL-i ,每 一 个 分 组 的 长 度 为 6 比特 ,最 后 一 
个 分 组 的 长 度 如 果 不 够 的 话 , 需 对 其 做 填充 。 最 后 一 个 分 组 中 还 包括 整个 函数 输入 的 长 度 
值 ,这 样 一 来 ,将 使 得 敌手 的 攻击 更 为 困难 , 即 敌 手 车 想 成 功 地 产生 假冒 消息 ,就 必须 保证 假 
冒 消息 的 杂 凌 值 与 原 消息 的 杂凑 值 相 同 ,而 且 假 冒 消息 的 长 度 也 要 与 原 消息 的 长 度 相等 。 

算法 中 重复 使 用 一 压缩 函数 /,/ 的 输入 有 两 项 ,一 项 是 上 一 轮 (第 i 一 1 轮 ) 输 出 , 另 一 
项 是 算法 在 本 轮 ( 第 i 轮 ) 输 入 分 组 Y;。/ 的 输出 又 作为 下 一 轮 的 输入 。 算 法 开始 时 还 需 指 
定 一 个 初 值 IV, 最 后 一 轮 ”比特 输出 即 为 最 终 产生 的 杂凑 值 。 通 常 有 0 二 72 因此 称 函 数 了 
为 压缩 函数 。 算 法 的 核心 就 是 设计 无 碰撞 的 压缩 函数 /。 

对 Hash 函数 的 攻击 就 是 想 办 法 找 出 碰撞 ,相关 攻击 方法 主要 有 生日 攻击 、 中 途 相遇 攻 
击 、 修 正 分 组 攻击 和 差分 分 析 攻 击 等 。MD-5 和 SHA-1 算法 都 已 经 被 攻破 ,中 国 密码 学 者 
王小云 在 这 方面 做 出 了 很 优秀 的 研究 成 果 。 开 发 人 员 应 该 使 用 更 为 安全 的 SHA-2(SHA- 
256、SHA-512) 算 法 ,研究 人 员 目 前 已 经 开始 讨论 设计 更 安全 的 新 Hash 函数 SHA-3,2011 
年 筛选 出 了 Blasé.JH、Grostl、,Keccak 和 Skein 共 5 个 候选 算法 ,最 终 将 决定 SHA-3 算法 。 


3.5.2 数字 签名 


1. 数字 签名 的 概念 
在 RSA 公 钥 密码 体制 中 .假如 Alice 用 自己 的 私 钥 & 来 计算 S 圭 m'(mod n) ,然后 把 S 
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连同 消息 mm 一 起 发 送 给 Bob ,而 Bob 用 Alice 的 公 钥 (n,e) 来 计算 mx' 圭 c* (mod n) ,那么 则 有 
m 二 m。 大 家 想 一 下 ,这 是 否 意味 着 Bob 相信 所 收 到 的 ; 一定 是 来 自 Alice? 上 述 过 程 中 的 
S 是 否 相 当 于 Alice 对 消息 m 的 签名 ? 上 述 过 程 可 用 图 3-26 来 概括 。 


签名 者 私 钥 签名 者 公 钥 


消息 mm 


签名 


消息 m 


oh 
检查 ?m=m 


图 3-26 数字 签名 过 程 示意 


数字 签名 是 利用 密码 运算 实现 “手写 签名 ”效果 的 一 种 技术 , 它 通过 某 种 数学 变换 来 实 
现 对 数字 内 容 的 签名 和 盖 章 。 在 ISO 7498 一 2 标准 中 ,数字 签名 的 定义 为 “附加 在 数据 单元 
上 的 一 些 数据 ,或 是 对 数据 单元 所 做 的 密码 变换 ,这 种 数据 或 变换 允许 数据 单元 的 接收 者 用 
以 确认 数据 单元 的 来 源 和 数据 单元 的 完整 性 ,并 保护 数据 ,防止 被 人 伪造 ”。 

一 个 数字 签名 方案 一 般 由 签名 算法 和 验证 算法 两 部 分 组 成 。 要 实现 “手写 签名 ”的 效 
果 , 数 字 签 名 应 具有 不 可 伪造 不 可 抵赖 和 可 验证 的 特点 。 对 于 数字 签名 方案 的 攻击 主要 是 
想 办 法 伪造 签名 。 按 照 方 案 被 攻破 的 程度 ,可 以 分 为 三 种 类 型 ,分 别 是 : 

(1) 完全 伪造 , 即 攻击 者 能 计算 出 私 钥 或 者 能 找到 一 个 能 产生 合法 签名 的 算法 ,从 而 可 
以 对 任何 消息 产生 合法 的 签名 ; 

(2) 选择 性 伪造 , 即 攻 击 者 可 以 实现 对 某 一 些 特定 的 消息 构造 出 合法 的 签名 ; 

(3) 存在 性 伪造 , 即 攻 击 者 能 够 至 少 伪 造 出 一 个 消息 的 签名 ,但 对 该 消息 几乎 没有 控 
制 力 。 

2. 基本 签名 算法 

数字 签名 方案 一 般 利 用 公 钥 密码 技术 来 实现 ,其 中 私 钥 用 来 签名 , 公 钥 用 来 验证 签名 。 
比较 典型 的 数字 签名 方案 有 RSA 算法 (R. L. Rivest、A. Shamir 和 L.M. Adleman， 
1978) 、ElGamal 签名 (T. ElGamal,1985)、Schnorr 签名 (C. P. Schnorr,1989) 和 DSS 签名 
(CNIST,1991) 。 我 们 这 里 仅 给 出 EIGamal 签名 方案 和 Schnorr 签名 方案 。 

(1) ElGamal 签名 方案 

假设 2 是 一 个 大 素数 ,g 是 GF(p) 的 生成 元 。Alice 的 公 钥 为 y = g*” mod p,g,p 私 钥 
为 工 。 

签名 算法 : 

Alice 首先 选择 一 个 与 p 一 1 互 素 的 随机 数 A 

Alice 计算 a 王 8 mod 户 

Alice 对 0 解 方程 M 二 zxXa 十 kXb (mod 一 1) 

Alice 对 消息 M 的 签名 为 (a,5) 


验证 算法 : 
检查 ya mod p 二 g” mod p 是 否 成 立 
例如 : 


p= 二 11,g 二 2,Bob 选 x 二 8 为 私 钥 
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公 钥 : y = 3,g = 2,p = 11 

Bob 要 对 M = 5 进行 签名 

选 k = 二 9 (gcd(9,10) 一 1) 

a = 2 mod1]1 = 6,b=3 

读者 可 检查 yra* mod p 二 gx mod p 是 否 成 立 。 

上 述 方案 的 安全 性 是 基于 如 下 离散 对 数 困难 性 问题 的 : 已 知 大 素数 p、GF(p) 的 生成 
元 g 和 非 零 元 素 yE GF(p) ,求解 唯一 的 整数 &,0 二 hk 三 p 一 2, 使 得 yE g*(mod p),k 称 为 y 

(2) Schnorr 签名 方案 

Schnorr 签名 方案 是 一 个 短 签名 方案 , 它 是 ElGamal 签名 方案 的 变形 ,其 安全 性 是 基于 
离散 对 数 困难 性 和 Hash 函数 的 单 向 性 的 。 假 设 和 g 是 大 素数 ,是 g 能 被 bp 一 1 整除 ,g 是 
大 于 等 于 160b 的 整数 ,p 是 大 于 等 于 512b 的 整数 ,以 保证 GF(p) 中 求解 离散 对 数 困 难 ; g 
是 GF(p) 中 的 元 素 , 且 g’ 寺 1 mod p; Alice 公 钥 为 y 三 g* (mod p), 私 钥 为 x ,1 二 x+ 二 gq。 

签名 算法 : 

Alice 首先 选 一 个 与 p 一 1 互 素 的 随机 数 A 

Alice 计算 = 二 h(M,g* mod P) 

Alice 计算 一 A 十 ZrCmoddg) 

计算 g*modP 二 g’y” modP 

验证 7 二 h(M,g* mod P) 

Schnorr 签名 较 短 , 由 |g| 及 | 有 H(M) | 决定 。 在 Schnorr 签名 中 .r= 二 g* mod p 可 以 预先 
计算 , 与 M 无 关 , 因 而 签名 只 需 一 次 mod g 乘法 及 减法 。 所 需 计算 量 少 ,速度 快 ,适用 于 
智能 卡 。 

3. 特殊 签名 算法 

目前 国内 外 研究 重点 已 经 从 普通 签名 转向 具有 特定 功能 、 能 满足 特定 要 求 的 数字 签名 。 
如 适用 于 电子 现金 和 电子 钱包 的 盲 签名 、 适 用 于 多 人 共同 签署 文件 的 多 重 签名 、 限 制 验 证 人 
身份 的 条 件 签名 、 保 证 公平 性 的 同时 签名 以 及 门限 签名 、 代 理 签名 、 防 失败 签名 等 。 

育 签 名 是 指 签 名 人 不 知道 签名 内 容 的 一 种 签名 ,可 用 于 电子 现金 系统 ,实现 不 可 追踪 
性 。 如 下 是 D，Chaum 于 1983 年 提出 的 一 个 盲 签名 方案 : 

假设 在 RSA 密码 系统 中 ,Bob 的 公 钥 为 e, 私 钥 为 d, 公 共 模 为 N。Alice 想 让 Bob 对 
消息 M 盲 签名 。 

(1) Alice 在 1 和 AN 之 间 选 择 随 机 数 上 通过 下 述 办 法 对 M 讶 化: 1 二 Mk* mod N。 

(2) Bob 对 1 签名 ,1 二 (Mk*)* mod N。 

(3) Alice 用 下 述 办 法 对 1 脱 盲 : s 一 2 人 mod N 二 M* mod N,s 即 为 消息 M 的 
签名 。 


3.5.3 消息 认证 


1. 消息 认证 与 消息 认证 码 
消息 认证 是 指 验证 者 验证 所 接收 到 的 消息 是 否 确实 来 自 真 正 的 发 送 方 ,并 且 消 息 在 传 
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送 中 没 被 修改 的 过 程 。 消 息 认 证 是 抗击 伪装 内容 自 改 .序号 自 改 .计时 自 改 和 信 源 抵赖 的 
有 效 方法 。 

加 密 技 术 可 用 来 实现 消息 认证 。 假 如 使 用 对 称 加 密 方法 ,那么 接收 方 可 以 肯定 发 送 方 
创建 了 相关 加 密 的 消息 ,因为 只 有 收发 双方 才 有 对 应 的 密 钥 ,并 且 如 果 消 息 本 身 具有 一 定 结 
构 \ 宛 余 或 校 验 和 的 话 , 那 么 接收 者 很 容易 发 现 消息 在 传送 中 是 否 被 修改 。 假 如 使 用 公 钥 加 
密 技术 , 则 接收 者 不 能 确定 消息 来 源 ,因为 任何 人 都 知道 接收 者 的 公 钥 ,但 这 种 技术 可 以 确 
保 只 有 预定 的 接收 者 才能 接收 信息 。 

数字 签名 也 可 用 来 实现 消息 认证 。 验 证 者 对 签名 后 的 数据 不 仅 能 确定 消息 来 源 ,而 且 
可 以 向 第 三 方 证 明 其 真实 性 ,因而 还 能 防止 信 源 抵赖 。 

消息 认证 更 为 简单 的 实现 方法 是 利用 消息 认证 码 。 

消息 认证 码 (MAC) 也 称 密码 校 验 和 ,是 指 消息 被 一 密 钥 控制 的 公开 单 向 函数 作用 后 ， 
产生 的 固定 长 度 的 数值 , 即 MAC 二 CKCM)。 如 图 3-27 所 示 ,假设 通信 双方 A 和 B 共享 一 
密 钥 ,A 欲 发 送 给 B 的 消息 是 M ,A 首先 计算 MAC 二 CK(CMD) ,其 中 CK(*) 是 密 钥 控制 的 
公开 单 向 函数 ,然后 向 B 发 送 M MAC,B 收 到 后 做 与 A 相同 的 计算 , 求 得 一 新 MAC ,并 
与 收 到 的 MAC 做 比较 ,如 果 B 计算 得 到 的 MAC 与 接收 到 的 MAC 一致 , 则 : 

(1) 接收 方 相信 发 送 方 发 来 的 消息 未 被 算 改 ,这 是 因为 攻击 者 不 知道 密 钥 ,所 以 不 能 够 
在 算 改 消息 后 相应 地 算 改 MAC, 而 如 果 仅 自 改 消息 , 则 接收 方 计算 的 新 MAC 将 与 收 到 的 
MAC 不 同 。 

(2) 接收 方 相信 发 送 方 不 是 冒充 的 ,这 是 因为 除 收发 双方 外 再 无 其 他 人 知道 密 钥 ,因此 
其 他 人 不 可 能 对 自己 发 送 的 消息 计算 出 正确 的 MAC。 
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图 3-27 用 消息 认证 码 来 实现 消息 认证 


2. 消息 认证 码 的 构造 

安全 的 MAC 函数 MAC 二 CK(M) 不 但 要 求 要 具有 单 向 性 和 固定 长 度 的 输出 ,而 且 应 
满足 以 下 条 件 : 

(1) 如 果 敌 手 得 到 M 和 CKCM) , 则 构造 一 满足 CKCM') = CKCM) 的 新 消息 M 在 计 
算 上 是 不 可 行 的 。 

(2) CKCM) 均 匀 分 布 的 条 件 是 : 随机 选取 两 个 消息 M、M' .Pr[CK(M) 二 CK(M')]= 
2 一 n, 其 中 4 为 MAC 的 长 。 

(3) 车 M' 是 M 的 某 个 变换 , 即 M ==f(M), 例 如 为 插入 一 个 或 多 个 比特 ,那么 
Pr[CK(M) =CK(M’)J]=2—n。 

MAC 的 构造 方法 有 很 多 种 ,但 MAC 函数 的 上 述 要 求 很 容易 让 我 们 想到 Hash 函数 。 
事实 上 ,基于 密码 杂凑 函数 构造 MAC 正 是 一 个 重要 的 研究 方向 ,RFC 2104 推荐 的 HMAC 
已 被 用 于 IPSec 和 其 他 网 络 协议 。HMAC 的 结构 如 图 3-28 所 示 。 
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0x36..0x36 | 一 一 | Inner Key Document 
XOR 1 5l2b 
Key | Pad | 512b 1 
MDS5/SHA-1 Hash Function 
XOR 1 
0x5C..0x5C | 一 人 | Outer Key Hash 


512b 


| MDS5/SHA-1 Hash Function | 


Truncate 
。 Key Length>Hash Length Hash to 96b 


图 3-28 HMAC 的 结构 示意 


3.6 ”PKI 技术 


公 钥 基础 设施 (Public Key Infrastructure,PKI) 是 一 套 基于 公 钥 加 密 技 术 ,为 电子 商 
务 .电子 政务 等 提供 安全 服务 的 技术 和 规范 。 作 为 一 种 基础 设施 ,PKI 由 公 钼 技术 .数字 证 
书 、 证 书 发 放 机 构 和 关于 公 钥 的 安全 策略 等 基本 成 分 共同 组 成 ,用 户 保证 网 络 通信 和 网 上 交 
易 的 安全 。 

从 广义 上 讲 , 所 有 提供 公 钥 加 密 和 数字 签名 服务 的 系统 都 可 称 为 PKI 系统 。PKI 的 主 
要 目的 是 自动 管理 密 钥 和 数字 证 书 , 为 用 户 建立 一 个 安全 的 网 络 运行 环境 ,使 用 户 可 以 在 多 
种 应 用 环境 下 方便 地 使 用 加 密 和 数字 签名 技术 。 


3.6.1 公 钥 基础 设施 简介 


1. PKI 的 概念 

公 钥 基础 设施 (Public Key Infrastructure,PKI) ,是 利用 公 钥 理论 和 技术 建立 的 提供 信 
息 安 全 服务 的 基础 设施 。 公 钥 体 制 是 目前 应 用 最 广泛 的 一 种 加 密 体制 ,在 这 一 体制 中 ,加 密 
密 钥 与 解密 密 钥 各 不 相同 ,发 送信 息 的 人 利用 接收 者 的 公 钥 发 送 加 密 信息 ,接收 者 再 利用 自 
己 专 有 的 私 钥 进 行 解密 。 这 种 方式 保证 了 信息 的 机 密 性 、 不 可 抵赖 性 。 公 钥 体制 主要 用 于 
CA 认证 、 数 字 签 名 和 密 钥 交换 等 。 

PKI 是 基于 公开 密 钥 理论 和 技术 建立 起 来 的 安全 体系 ,提供 信息 安全 服务 的 ,具有 普 适 
性 的 基础 设施 ; 该 体系 在 统一 的 安全 认证 标准 和 规范 基础 上 提供 在 线 身份 认证 ,是 CA 认 
证 、 数 字 证 书 ,数字 签名 以 及 相关 安全 应 用 组 件 模 块 的 集合 ; PKI 是 认证 、 完 整 性 、 机 密 性 和 
不 可 否认 性 的 技术 基础 ,从 技术 上 解决 网 上 身份 认证 \ 信 息 完整 性 和 抗 抵赖 等 安全 问题 ,为 
网 络 应 用 提供 可 靠 的 安全 保障 。PKI 的 核心 是 要 解决 信息 网 络 空 间 中 的 信任 问题 ,确定 信 
息 网 络 空 间 中 各 种 主体 身份 的 唯一 性 、 真 实 性 和 合法 性 ,保护 信息 网 络 空间 中 各 种 主体 的 安 
全 利益 。 
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PKI 是 信息 安全 基础 设施 的 一 个 重要 组 成 部 分 ,是 一 种 普遍 适用 的 网 络 安全 基础 设 
施 ; 授权 管理 基础 设施 、 可 信和 时 间 截 服务 系统 、 安 全 保密 管理 系统 、 统 一 的 安全 电子 政务 平 
台 等 的 构筑 都 离 不 开 它 的 支持 。 数 字 证 书 认证 中 心 (CA)、 审 核 注 册 中 心 (Registration 
Authority,RA) 、 密 钥 管 理 中 心 (Key Manager,KM) 都 是 组 成 PKI 的 关键 组 件 。 

2. PKI 的 内 容 

PKI 是 以 公开 密 钥 技 术 为 基础 ,以 数据 的 机 密 性 、 完 整 性 和 不 可 抵赖 性 为 安全 目的 而 构 
建 的 认证 ,授权 、 加 密 等 硬件 、 软 件 的 综合 设施 。 根 据 美国 国家 标准 技术 局 的 描述 ,在 网 络 通 
信和 网 络 交易 中 ,特别 是 在 电子 政务 和 电子 商务 业务 中 ,最 需要 的 安全 保证 包括 4 个 方面 : 
身份 标识 和 认证 、 保 密 或 隐私 、 数 据 完整 性 和 不 可 否认 性 。 

PKI 可 以 完全 提供 以 上 4 个 方面 的 保障 , 它 所 提供 的 服务 主要 包括 以 下 三 个 方面 。 

(1) 认证 。 在 现实 生活 中 ,认证 方式 通常 是 两 个 人 事前 协商 ,确定 一 个 秘密 ,依据 这 个 
秘密 相互 认证 。 随 着 网 络 规模 的 扩大 ,两 两 协商 几乎 不 可 能 ; 透 过 一 个 密 钥 管理 中 心 来 协 
调 困 难 也 会 很 大 , 当 网 络 规模 巨大 时 , 密 钥 管理 中 心 成 为 网 络 通信 的 瓶 项 。PKI 通过 证 书 进 
行 认证 ,认证 时 对 方 知道 你 就 是 你 ,但 却 无 法 知道 你 为 什么 是 你 。 在 这 里 ,证书 是 一 个 可 信 
的 第 三 方 证 明 , 通 过 它 , 通 信和 双方 可 以 安全 地 进行 互相 认证 ,而 不 用 担心 对 方 是 假冒 的 。 

(2) 支持 密 钥 管理 。 通 过 加 密 证 书 ,通信 双方 可 以 协商 一 个 秘密 ,而 这 个 秘密 可 以 作为 
通信 加 密 的 密 钥 。 在 需要 通信 时 ,可 以 在 认证 的 基础 上 协商 一 个 密 钥 。 在 大 规模 的 网 络 中， 
密 钥 恢复 也 是 密 钥 管理 的 一 个 重要 方面 。PKI 提供 可 信 的 、 可 管理 的 密 钥 恢复 机 制 ,PKI 在 
全 社会 范围 内 提供 全 面 的 密 钥 恢复 与 管理 能 力 , 保 证 网 上 活动 的 健康 有 序 发 展 。 

(3) 完整 性 与 不 可 和 否认。 完整 性 与 不 可 否认 是 PKI 提供 的 最 基本 的 服务 。PKI 提供 的 
完整 性 是 可 以 通过 第 三 方 仲 裁 的 ,并 且 这 种 由 第 三 方 进行 仲裁 的 完整 性 是 通信 双方 都 不 可 
否认 的 。 不 可 否认 是 通过 PKI 的 数字 签名 机 制 来 提供 服务 的 , 当 法 律 许可 时 ,该 “不 可 和 否认 
性 ”可 以 作为 法 律 依据 。 正 确 使 用 时 ,PKI 的 安全 性 应 该 高 于 目前 使 用 的 纸 面 图 章 系统 。 

3. PKI 的 体系 结构 

一 个 标准 的 PKI 系统 必须 具备 以 下 主要 内 容 。 

(1) 认证 机 构 (Certificate Authority,CA) ,是 PKI 的 核心 执行 机 构 , 是 PKI 的 主要 组 成 
部 分 ,通常 称 为 认证 中 心 。CA 还 包括 RA, 它 是 数字 证 书 的 申请 注册 、 证 书签 发 和 管理 
机 构 。 

CA 的 主要 职责 包括 验证 并 标识 证 书 申请 者 的 身份 。 对 证 书 申请 者 的 信用 度 、 申 请 证 
书 的 目的 .身份 的 真实 可 靠 性 等 问题 进行 审查 ,确保 证 书 与 身份 绑 定 的 正确 性 。 

确保 CA 用 于 签名 证 书 的 非 对 称 密 钥 的 质量 和 安全 性 。 为 了 防止 被 破译 ,CA 用 于 签 
名 的 私 钥 长 度 必须 足够 长 并 且 私 钥 必 须 由 硬件 卡 产 生 , 私 钥 不 出 卡 。 

管理 证 书信 息 资 料 。 管 理 证 书 序号 和 CA 标识 ,确保 证 书 主体 标识 的 唯一 性 ,防止 证 书 
主体 名 字 的 重复 。 在 证 书 使 用 中 确定 并 检查 证 书 的 有 效 期 ,保证 不 使 用 过 期 或 已 作废 的 证 
蔬 ,确保 网 上 交易 的 安全 。 发 布 和 维护 作废 证 书 列表 (CRL) , 因 某 种 原因 证 书 要 作废 ,就 必 
须 将 其 作为 “ 黑 名 单 ? 发 布 在 证 书 作废 列表 中 ,以 供 交 易 时 在 线 查询 ,防止 交易 风险 。 对 已 签 
发 证 书 的 使 用 全 过 程 进行 监视 跟踪 , 作 全 程 日 志 记 录 , 以 备 发 生 交易 争端 时 ,提供 公正 依据 ， 
参与 仲裁 。 
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由 此 可 见 ,CA 是 保证 电子 商务 .电子 政务 .网 上 银行 .网 上 证 券 等 交易 的 权威 性 .可 信 
任性 和 公正 性 的 第 三 方 机 构 。 

(2) 证 书 和 证 书库 。 证 书 是 数字 证 书 或 电子 证 书 的 简称 , 它 符合 X. 509 标准 ,是 网 上 实 
体 身 份 的 证 明 。 证 书 是 由 具备 权威 性 、 可 信任 性 和 公正 性 的 第 三 方 机 构 签 发 的 ,因此 , 它 是 
权威 性 的 电子 文档 。 

证 书库 是 CA 颁发 证 书 和 撤销 证 书 的 集中 存放 地 ,可 供 公众 进行 开放 式 查 询 。 一 般 来 
说 ,查询 的 目的 有 两 个 : 其 一 是 想得到 与 之 通信 实体 的 公 钥 ; 其 二 是 要 验证 通信 对 方 的 证 
书 是 否 已 进入 “ 黑 名 单 ”。 证 书库 支持 分 布 式 存放 , 即 可 以 采用 数据 库 镜像 技术 ,将 CA 签发 
的 证 书 中 与 本 组 织 有 关 的 证 书 和 证 书 撤销 列表 存放 到 本 地 ,以 提高 证 书 的 查询 效率 ,减少 向 
总 目录 查询 的 瓶颈 。 

(3) 密 钥 备份 及 恢复 ,是 密 钥 管理 的 主要 内 容 , 如 果 用 户 的 解密 数据 的 密 钥 丢失 ,会 使 
已 被 加 密 的 密 文 无 法 解 开 。 

为 避免 这 种 情况 的 发 生 ,PKI 提供 了 密 钥 备份 与 密 钥 恢 复 机 制 : 当 用 户 证 书生 成 时 ,加 
密 密 钥 即 被 CA 备份 存储 ; 当 需 要 恢复 时 ,用 户 只 需 向 CA 提出 申请 ,CA 就 会 为 用 户 自动 
进行 恢复 。 

(4) 密 钥 和 证 书 的 更 新 。 一 个 证 书 的 有 效 期 是 有 限 的 ,这 种 规定 在 理论 上 是 基于 当前 
非 对 称 算法 和 密 钥 长 度 的 可 破译 性 分 析 ; 在 实际 应 用 中 是 由 于 长 期 使 用 同一 个 密 钥 有 被 破 
译 的 危险 。 因 此 ,证 书 和 和 密 钥 必须 有 一 定 的 更 换 频 度 ,PKI 对 已 发 的 证 书 进行 密 钥 更 新 或 证 
书 更 新 。 

证 书 更 新 一 般 由 PKI 系统 自动 完成 ,不 需要 用 户 干预 。 用 户 在 使 用 证 书 的 过 程 中 ,PKI 
会 自动 到 目录 服务 器 中 检查 证 书 的 有 效 期 , 当 有 效 期 结束 之 前 ,PKI/CA 会 自动 生成 一 个 新 
证 书 来 代替 旧 证 书 。 

(5) 证 书 历史 档案 。 从 密 钥 更 新 的 过 程 不 难看 出 ,经 过 一 段 时 间 后 ,每 一 个 用 户 都 会 形 
成 多 个 旧 证 书 和 至 少 一 个 当前 新 证 书 。 这 一 系列 旧 证 书 和 相应 的 私 钥 就 组 成 了 用 户 密 钥 和 
证 书 的 历史 档案 ,记录 整个 密 钥 历史 是 非常 重要 的 。 例 如 ,用户 几 年 前 用 自己 的 公 钥 加 密 的 
数据 无 法 用 现在 的 私 钥 解密 ,那么 该 用 户 就 必须 从 他 的 密 钥 历史 档案 中 ,查找 到 几 年 前 的 私 
钥 来 解密 数据 。 

(6) 客户 端 软件 。 为 方便 客户 操作 ,解决 PKI 的 应 用 问题 ,在 客户 端 装 有 软件 ,以 实现 
数字 签名 、 加 密 传输 数据 等 功能 。 

(7) 交叉 认证 。 交 叉 认 证 就 是 多 个 PKI 域 之 间 实 现 互 操作 。 

4. PKI 的 相关 标准 

从 整个 PKI 体系 建立 与 发 展 的 历程 来 看 ,与 PKI 相关 的 标准 主要 包括 以 下 一 些 。 

(1) X. 509(1993) 信息 技术 之 开放 系统 互联 (鉴别 框架 )。X. 509 是 由 国际 电信 联盟 
(ITU-T) 制 定 的 数字 证 书 标准 。 在 X. 500 确保 用 户 名 称 唯一 性 的 基础 上 ,X. 509 为 X. 500 
用 户 名 称 提供 了 通信 实体 的 鉴别 机 制 .并 规定 了 实体 鉴别 过 程 中 适用 的 证 书 语法 和 数据 接 
口 。X. 509 证 书 由 用 户 公共 密 钥 和 用 户 标识 符 组 成 ,此 外 还 包括 版 本 号 、 证 书 序列 号 .CA 
标识 符 、 签 名 算法 标识 、 签 发 者 名 称 、 证 书 有 效 期 等 信息 。 

(2) PKCS 系列 标准 。 由 RSA 实验 室 制定 的 PKCS 系列 标准 ,是 一 套 针 对 PKI 体系 的 
加 解密 、 签 名 、 密 钥 交 换 、 分 发 格式 及 行为 标准 ,该 标准 目前 已 经 成 为 PKI 体系 中 不 可 缺少 
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的 一 部 分 。 

(3) OCSP。OCSP(Online Certificate Status Protocol, 在 线 证 书 状态 协议 ) 是 IETF 颁 
布 的 用 于 检查 数字 证 书 在 某 一 交易 时 刻 是 否 仍然 有 效 的 标准 。 该 标准 提供 给 PKI 用 户 一 
条 方便 快捷 的 数字 证 书 状态 查询 通道 ,使 PKI 体系 能 够 更 有 效 、 更 安全 地 在 各 个 领域 中 被 
广泛 应 用 。 

5. PKI 的 应 用 


(1) 虚拟 专用 网 络 (Virtual Private Network, VPN) ,是 将 物理 分 布 在 不 同 地 点 的 网 络 
通过 Internet 连接 而 成 的 逻辑 上 的 虚拟 子 网 。 通 常 ,VPN 利用 PKI 与 PMI 和 访问 控制 技 
术 来 提高 其 安全 性 ,一 个 现代 VPN 需要 认证 .机 密 、 完 整 , 不 可 否认 等 更 加 完善 的 安全 技 
术 。PKI 技术 已 经 成 为 架构 VPN 的 基础 ,为 路 由 器 之 间 、PKI 与 PMI 之 间或 路 由 器 和 PKI 
与 PMI 之 间 提 供 经 过 加 密 和 认证 的 通信 。 

(2) 安全 电子 邮件 ,已 经 成 为 一 种 标准 信息 交换 工具 ,其 安全 需求 是 完整 ,认证 和 不 可 
否认 。 利 用 PKI 技术 ,用 户 可 以 对 他 所 发 的 邮件 进行 数字 签名 。 

安全 电子 邮件 协议 S/MIME (The Secure Multipurpose Internet Mail Extension) ,是 
一 个 加 密 和 签名 邮件 的 协议 , 它 的 实现 依赖 于 PKI 技术 。 

(3) Web 安全 。Web 上 的 交易 的 安全 问题 包括 诈骗 泄漏 、 算 改 、 攻 击 。 解 决 Web 安 
全 问题 ,入 手 点 是 浏览 器 。 现 在 ,IE 和 Firefox 都 支持 SSL(The Secure Sockets Layer) 协 
议 。SSL 是 一 个 在 传输 层 和 应 用 层 之 间 的 安全 通信 层 。 利 用 PKI 技术 ,SSL 协议 允许 在 浏 
览 器 和 服务 器 之 间 进 行 加 密 通信 。 


3.6.2 证 书 权 威 


证 书 权威 (CA) 是 构建 在 PKI 基础 之 上 的 产生 和 确定 数字 证 书 的 第 三 方 可 信 机 构 
(Trusted Third Party) ,主要 进行 身份 证 书 的 发 放 , 管 理 电子 证 书 的 正常 使 用 。CA 具有 权 
威 性 .可 信赖 性 及 公正 性 ,承担 公 钥 体系 中 公 钥 的 合法 性 检验 。CA 为 每 个 使 用 公开 密 钥 的 
用 户 发 放 一 个 数字 证 书证 书 的 作用 是 证 明证 书 中 列 出 的 用 户 合 法 拥有 证 书 中 列 出 的 公开 
密 钥 。CA 的 数字 签名 使 得 攻击 者 不 能 伪造 和 自 改 证 书 .CA 还 负责 吊销 证 书 并 发 布 证 书 吊 
销 列表 ,并 负责 产生 、 分 配 和 管理 网 上 实体 所 需 的 数字 证 书 。 

1. CA 的 功能 和 组 成 

(1) CA 认证 体系 的 组 成 。 

CA 认证 体系 包括 如 下 几 部 分 : 一 是 CA, 负 责 产 生 和 确定 用 户 实体 的 数字 证 书 。 二 是 
审核 授权 部 门 ,简称 RA ,负责 对 证 书 的 申请 者 进行 资格 审查 ,并 决定 是 否 同意 给 申请 者 发 
放 证 书 ; 同时 ,承担 因 审 核 错误 而 引起 的 、 为 不 满足 资格 的 人 发 放 了 证 书 而 引起 的 一 切 后 
果 , 它 应 由 能 够 承担 这 些 责任 的 机 构 担 任 。 三 是 证 书 操作 部 门 CP(Certification Processor) 
为 已 被 授权 的 申请 者 制作 ,发 放 和 管理 证 书 ,并 承担 因 操 作 运 营 错误 所 产生 的 一 切 后 果 , 包 
括 失 密 和 为 没有 获得 授权 的 人 发 放 了 证 书 等 , 它 可 由 RA 自己 担任 ,也 可 委托 给 第 三 方 担 
任 。 四 是 密 钥 管理 部 门 KM ,负责 产生 实体 的 加 密 钥 对 ,并 对 其 解密 私 钥 提 供 托管 服务 。 五 
是 证 书 存储 地 (Dir) ,包括 网 上 所 有 的 证 书目 录 。 

在 CA 认证 体系 中 ,各 组 成 部 分 彼此 之 间 的 认证 关系 一 般 如 下 。 
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@ 用 户 与 RA 之 间 : 用 户 请 求 RA 进行 审核 ,用 户 应 该 将 自己 的 身份 信息 提交 给 RA， 
RA 对 用 户 的 身份 进行 审核 后 ,要 安全 地 将 该 信息 转发 给 CA。 

Q@ RA 与 CA 之 间 : RA 应 该 以 一 种 安全 可 靠 的 方式 把 用 户 的 身份 识别 信息 传送 给 
CA。CA 通过 安全 可 行 的 方式 将 用 户 的 数字 证 书 传送 给 RA 或 直接 送 给 用 户 。 

@ 用 户 与 Dir 之 间 : 用 户 可 以 在 Dir 中 查询 .撤销 证 书 列表 和 数字 证 书 。 

图 Dir 与 CA 之 间 : CA 将 自己 产生 的 数字 证 书 直接 传送 给 目录 Dir, 并 把 它们 登记 在 
目录 中 ,在 目录 中 登记 数字 证 书 要 求 用 户 鉴别 和 访问 控制 。 

@ 用 户 与 KM 之 间 : KM 接受 用 户 委托 ,代表 用 户 生成 加 密 密 钥 对 ; 用 户 所 持 证 书 的 
加 密 密 钥 必须 委托 密 钥 管理 中 心 生成 ; 用 户 可 以 申请 解密 私 钥 恢 复 服 务 ; KM 应 该 为 用 户 
提供 解密 私 钥 的 恢复 服务 。 用 户 的 解密 私 钥 必须 统一 在 密 钥 管理 中 心 托管 。 

CA 与 KM 之 间 : 二 者 之 间 的 通信 是 保密 、 安 全 的 ,它们 之 间 用 通信 证 书 来 保证 安全 
性 。 通 信 证 书 是 认证 机 关 与 密 钥 管理 中 心 、 上 级 或 下 级 认证 机 关 进 行 通信 时 使 用 的 计算 机 
设备 证 书 ,这 些 专用 的 计算 机 设备 必须 安装 认证 机 构 所 发 布 的 专用 通信 证 书 , 密 钥 管 理 中 
心 、 上 级 或 下 级 认证 机 构 专 用 通信 计算 机 设备 所 持 有 的 通信 密 钥 证 书 和 认证 机 构 的 根 证 书 。 

(2) 认证 体系 的 职责 。 

从 上 述 论述 中 ,可 以 总 结 出 ,CA 至 少 担负 着 以 下 几 项 具体 的 职责 : 验证 标识 公开 密 钥 
信息 并 提交 认证 的 实体 身份 ; 确保 用 于 产生 数字 证 书 的 非 对 称 密 钥 对 的 质量 ; 保证 认证 过 
程 和 用 于 签名 公开 密 钥 信息 的 私有 密 钥 的 安全 ; 确保 两 个 不 同 的 实体 未 被 赋予 相同 的 身 
份 ,以 便 把 它们 区 别 开 来 ; 管理 包含 于 公开 密 钥 信息 中 的 证 书 材料 信息 ,如 数字 证 书 序列 
号 、 认 证 机 构 标 识 等 ; 维护 并 发 布 撤销 证 书 列表 ; 指定 并 检查 证 书 的 有 效 期 ; 通知 在 公开 密 
钥 信 息 中 标识 的 实体 ,数字 证 书 已 经 发 布 ; 记录 数字 证 书 产生 过 程 的 所 有 步骤 。 

(3) 安全 认证 体系 的 功能 。 

CA 安全 认证 体系 的 主要 功能 包括 : 签发 数字 证 书 、 管 理 下 级 审核 注册 机 构 .接受 下 级 
审核 注册 机 构 的 业务 申请 、 维 护 和 管理 所 有 证 书目 录 服 务 . 向 密 钥 管理 中 心 申请 密 钥 、 实 体 
鉴别 密 钥 器 的 管理 等 。 

2. CA 自身 证 书 的 管理 

CA 自身 证 书 的 管理 功能 主要 包括 以 下 内 容 。 

(1) 自身 证 书 的 查询 。PKI CA 具有 报表 功能 , 它 能 够 在 CA 中 产生 一 个 用 户 清单 ,用 
户 可 以 使 用 这 一 工具 对 所 有 CA 的 证 书 和 状态 进行 查询 。 

(2) CRL 查询 。 通 过 特定 的 应 用 程序 和 工具 包 , 可 以 访问 CRL。 

(3) 查询 操作 日 志 。PKI 安装 了 审计 跟踪 文件 ,提供 了 一 个 非常 广泛 的 存档 和 审计 能 
力 , 用 于 记录 涉及 认证 的 所 有 日 党 交易, 包括 管理 员 注 册 和 注销 以 及 用 户 初始 化 等 。 每 个 审 
计 记 录 是 自动 创建 的 ,管理 员 可 以 查询 所 有 审计 记录 ,但 不 能 修改 。 

(4) 统计 报表 输出 。PKI 提供 了 创建 报表 的 灵活 方法 ,包括 固定 格式 和 自 定义 格式 的 
报表 。 这 些 报表 内 容 可 以 是 统计 各 类 用 户 表 单 ,或 有 关 用 户 密 钥 恢 复 的 信息 等 。 

3. CA 对 用 户 证 书 的 管理 

如 果 用 户 想得到 一 份 证 书 , 他 首先 需要 向 CA 提出 申请 。CA 对 申请 者 的 身份 进行 认 
证 后 ,由 用 户 或 CA 生成 一 对 密 钥 , 私 钥 由 用 户 妥善 保存 ,CA 将 公 钥 与 申请 者 的 相关 信息 
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绑 定 ,并 签名 ,形成 证 书 发 给 申请 者 。 如 果 用 户 想 验证 CA 签发 的 另 一 个 证 书 , 可 以 用 CA 
的 公 钥 对 此 证 书 上 的 签名 进行 验证 ,一旦 验证 通过 ,该 证 书 就 认为 是 有 效 的 。CA 除了 签发 
证 书 , 还 负责 证 书 和 密 钥 的 管理 。 

4. 密 钥 管理 和 KMC 

密 钥 管 理 是 数据 加 密 技 术 中 的 重要 一 环 , 密 钥 管理 的 目的 是 确保 密 钥 的 安全 性 。 一 个 
好 的 密 钥 管理 系统 应 该 做 到 : 密 钥 难以 被 窃取 ; 在 一 定 条 件 下 窃取 了 密 钥 也 没有 用 , 密 铀 
有 使 用 范围 和 时 间 的 限制 ; 密 钥 的 分 配 和 更 换 过 程 对 用 户 透明 ,用 户 不 一 定 要 亲自 掌管 密 
钥 。 密 钥 管理 中 心 (Key Management Center, KMC) 向 CA 提供 相关 密 钥 服务 ,如 密 钥 生 
成 、 密 钥 存储 、 密 钥 备 份 、. 密 钥 恢 复 、 密 钥 更 新 和 密 钥 销 毁 等 ,如 图 3-29 所 示 。 
(1) 密 钥 生 成 。 


KMC 最 重要 的 职能 就 是 为 用 户 产生 加 密 密 钥 对 并 
提供 解密 私 钥 的 托管 服务 ,加 密 密 钥 对 是 在 独立 的 设备 

密 | | 密 | | 密 | | 窗 | | 密 | | 密 | 中 产生 的 ,支持 在 线 生成 和 离线 密 钥 池 方 式 。 
和 二 上 多 Q@ 认证 机 构 将 证 书 序列 号 .法 人 实体 的 验证 签名 公 
钥 及 法 人 相关 信息 提交 给 KMC ,请求 kMC 代 法 人 产生 


图 3-29” 密 钥 管 理 中 心 构成 加 密 密 钥 对 。 认 证 机 构 的 密 钥 生成 请 求 信息 包括 法 人 永 
久 性 ID、 实体 鉴别 密码 器 m( 可 选 )、 证 书 服务 编号 (可 
选 )、 密 钥 长 度 。 

@ KMC 在 收 到 认证 机 构 提 交 的 密 钥 对 产生 请 求 后 立即 产生 加 密 密 钥 对 。 

@ KMC 向 CA 中 心 返回 处 理 结果 ,包括 加 密 公 钥 、 经 加 密 的 解密 私 钥 .KMC 对 密 钥 对 
的 签名 。 密 钥 对 的 产生 ,有 两 种 方式 : 签名 密 钥 使 用 者 自己 产生 ,此 方式 可 以 保证 只 有 使 用 
者 自己 知道 密 钥 ,不 会 泄漏 给 第 三 者 。 在 CA 中 心 产生 加 密 密 钥 ,在 实体 的 保护 下 将 密 钥 交 
给 使 用 者 ,并 将 产生 密 钥 有 关 的 数据 及 密 钥 本 身 销 毁 。 

当 用 户 证 书生 成 后 ,用 户 信息 通过 RA 上 传 到 KMC ,与 加 密 密 钥 一 起 存 到 当前 库 进 行 
托管 保存 ,以 便 以 后 查询 和 恢复 操作 。 所 有 的 托管 密 钥 都 必须 以 分 割 和 加 密 的 方式 保存 在 
密 钥 数据 库 服务 器 中 。 

(2) 密 钥 存储 。 

双 证 书 绑 定 同一 个 用 户 , 其 对 应 的 私 钥 通 过 硬件 介质 保存 。 签 名 证 书 的 私 钥 是 用 户 自 
己 产 生 , 因 此 ,信任 方 完全 可 以 相信 和 经 过 签名 证 书 中 所 包含 的 公 钥 所 验证 过 的 信息 确实 经 过 
证 书 所 绑 定 的 实体 所 签 过 名 的 ,这 保证 了 信息 的 完整 性 和 不 可 抵赖 性 。 然 而 ,加 密 证 书 的 私 
钥 由 KMC 产生 ,并 在 该 机 构 的 数据 库 中 备份 了 用 户 的 私 钥 ,实现 用 户 密 钥 的 托管 。 在 这 种 
情况 下 ,用 户 和 KMC 都 拥有 用 户 加 密 证 书 所 对 应 的 私 钥 。 

用 户 本 地 存储 私 钥 ,口令 加 密 保 存 ; 当 需 要 使 用 私 钥 时 ,对 话 框 输入 口令 , 读 取 相 应 私 
钥 进 行 相应 的 操作 。 用 户 公 钥 明 文 和 用 户 信 息 存储 在 一 个 数据 表 中 , 私 钥 经 过 加 密 , 可 以 采 
用 根 CA 公 钥 进行 加 密 ,存储 于 另 一 表 中 ,其 读 取 应 输入 相应 管理 员 口 令 , 公 钥 与 私 钥 可 以 
通过 ID 进行 联系 。 

(3) 密 钥 传输 。 

用 户 提交 申请 信息 ,同时 在 用 户 端 产生 签名 公 钥 与 私 钥 , 公 钥 经 过 加 密 上 传 给 CA 中 
心 ,经 审核 后 ,产生 双 证 书 , 使 用 该 用 户 的 签名 公 钥 进行 加 密 , 返 回 给 用 户 , 可 以 使 用 网 站 挂 
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起 或 者 经 过 用 户 邮 箱 进行 发 送 。 

(4) 密 钥 备 份 。 

@ 冷 备 (Cold Standby) ,通常 是 通过 定期 地 对 生产 系统 数据 库 进行 备份 ,并 将 备份 数据 
存储 在 磁盘 等 介质 中 。 备 份 数据 平时 处 于 一 种 非 激活 的 状态 ,直到 故障 发 生 导 致 生产 数据 
库 系统 不 可 用 , 才 激 活 。 

@ 热 备 (Warm Standby) ,通常 需要 一 个 备用 的 数据 库 系 统 。 与 冷 备 相似 ,只 不 过 当 生 
产 数据 库 发 生 故障 时 ,可 以 通过 备用 数据 库 的 数据 进行 业务 恢复 。 因 此 , 热 备 的 恢复 时 间 比 
冷 备 大 大 缩短 。 

冷 备 采用 硬件 实现 ,不 需要 单独 写 代 码 。 热 备 每 天 定时 对 当天 的 数据 进行 备份 ,备份 文 
件 经 过 口令 加 密 , 与 存储 相同 , 公 钥 与 私 钥 分 开 备份 ,都 要 进行 基本 的 口令 加 密 ,其 间 通 过 
ID 进行 相应 操作 。 

(5) 密 钥 和 证 书 的 更 新 。 

证 书 更 新 的 过 程 和 证 书签 发 非常 相似 ,因为 用 户 只 是 更 新 证 书 , 他 在 申请 证 书 时 已 经 通 
过 了 审核 ,在 证 书 更 新 时 ,不 再 需要 审核 过 程 。 

Q@ CA 可 依 其 实际 的 需要 ,对 于 新 旧 证 书 的 有 效 期 限 ,制定 自己 的 策略 。 前 后 证 书 的 期 
限 可 以 重 倒 或 不 重合 。 关 允许 有 效 期 重合 .可 以 避免 CA 可 能 在 同一 失效 期 限 , 必 须 重 新 签 
发 大 量 的 证 书 问题 。 

@ 已 逾期 的 证 书 必 须 从 目录 服务 中 删除 。 认 证 中 心 车 提供 不 可 否认 (Non-Repudiation) 
服务 时 ,认证 中 心 必须 将 旧 的 证 书 保存 一 段 时 间 , 以 备 将 来 有 争议 时 ,验证 签名 解决 争议 
疡 用 5 

(6) 查询 。 

OCSP 是 一 个 简单 的 请 求 /响应 协议 , 它 使 得 客户 端 应 用 程序 可 以 测定 所 需 验 证 证 书 体 
系 的 状态 。 一 个 OCSP 客户 端 发 送 一 个 证 书 状态 查询 给 一 个 OCSP 响应 器 ,等 待 响应 器 返 
回 一 个 响应 。 

协议 对 OCSP 客户 端 和 OCSP 响应 器 之 间 所 需要 交换 的 数据 进行 了 描述 。 一 个 OCSP 
请 求 包含 协议 版 本 、 服 务 请 求 、 目 标 证 书 标识 和 可 选 的 扩展 项 等 。OCSP 响应 器 对 收 到 的 请 
求 返 回 一 个 响应 (或 出 错 信息 、 或 确定 的 回复 ); OCSP 响应 器 返回 出 错 信 息 时 ,该 响应 不 用 
签名 ; 响应 器 返回 确定 的 回复 ,该 响应 必须 进行 数字 签名 。 在 对 每 一 张 被 请 求证 书 的 回复 
中 包含 有 证 书 状态 值 : 正常 .撤销 未知.“ 正 常 ? 状 态 表示 这 张 证 书 没有 被 撤销 撤销” 状 
态 表 示 证 书 已 被 撤销 未知 ?状态 表示 响应 器 不 能 判断 请 求 的 证 书 状 态 。 

(7) 注销 。 

当 有 一 些 特殊 状况 时 ,CA 必须 停止 某 些 证 书 的 使 用 ,注销 此 证 书 。 例 如 ,使 用 者 在 证 
书 有 效 期 未 满 之 前 ,自觉 其 密 钥 不 安全 ,或 是 CA 对 此 使 用 者 已 丧失 管辖 权 等 状况 ,必须 注 
销 此 证 书 。 

证 书 注销 主要 是 改变 用 户 证 书 在 CA 数据 库 中 的 状态 。 将 证 书 正常 有 效 的 状态 改变 为 
撤销 的 状态 ,同时 从 证 书 发 布 表 中 将 该 证 书 项 删除 ,在 证 书 撤销 列表 (CRL) 中 增加 该 证 书 项 
即 完成 了 该 证 书 的 撤销 。 

下 载 根 证 书 用 户 发 送 个 人 信息 ,产生 签名 公 钥 、 私 钥 。 私 钥 经 过 用 户口 令 加 密 本 地 保 
存 , 公 钥 经 过 CA 根 证 书 加 密 后 ,发送 用 户 信息 审核 ,未 通过 信息 保存 到 数据 失败 列表 ,审核 
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通过 信息 发 送 到 KMC。 离 线 产 生 加 密 公 私 钥 对 ,进行 公私 钥 存 储 : 公 钥 与 用 户 信息 明文 存 
储 , 私 钥 加 密 存 储 ; 查找 通过 口令 和 ID 进行 备份 : 用 户 签名 公 钥 、 用 户 信 息 以 及 用 户 的 加 
密 公 钥 一 起 存储 ,加 密 密 钥 通过 根 证书 加 密 以 后 备份 于 另 一 数据 表 中 ,加 密 密 钥 使 用 用 户 个 
人 公 钥 加 密 后 返回 给 用 户 。 网 站 上 挂 起 发 送 用 户 邮 箱 ,用 户 使 用 硬件 ,自己 在 中 心 取得 吊销 
证 书生 成 吊销 列表 ,查询 证 书 状 态 .更改 数据 表 、 密 钥 恢 复 . 读 取 备 份 ,恢复 密 钥 原 系统 , 查 
询 功 能 基本 完成 。 对 证 书 不 了 解 的 用 户 ,注册 时 ,向 CA 中 心 发 送 签名 密 钥 ,由 根 证 书 公 
自动 完成 加 密 操作 ,用户 查询 其 他 用 户 公 钥 并 下 载 时 ,使 用 户 在 中 心 存储 的 加 密 公 钥 进行 加 
密 , 防 止 公 钥 在 传输 过 程 中 被 自 改 。 证 书 注销 流程 如 图 3-30 所 示 。 


下 载 根 证 书 
T 私 钥 经 过 用 户口 令 加 密 本 地 保存 
CE 
公 钥 经 过 CA 根 证 书 加 密 后 发 送 
作曲 学 dint 和 夫人 和 全 
i 直 jp | 子 人 但 
谈 取 备份 如 员 和 的 过 委 让 
加 密 以 司 备份 于 另 一 
本 表 中 
信息 发 送 到 KMC， 离 线 产生 加 密 公私 钥 | | | 恢复 密 乌 
公 钥 与 用 户 信息 明文 ” | 吊销 证 书 
对 公私 钥 存储 
进行 存 信 门 ”一 一 | 
和 各 过 及 ;4 并 | 查询 证 书 状态 
1 i 1 
加 秘密 钢 人 用 用 户 个 人 公 名 ee 更 改 数据 表 
密语 返回 给 用 户 
加 密 后 返回 给 用 户 i 】 
有 生成 吊销 列表 
自己 在 中 心 取 
得 
图 3-30 证 书 注销 的 流程 
5. 时 间 惟 服务 


时 间 惟 是 一 个 具有 法 律 效力 的 电子 凭证 ,是 各 种 类 型 的 电子 文件 (数据 文件 ) 在 时 间 、 权 
属 及 内 容 完整 性 方面 的 证 明 。 时 间 惟 能 证 明 用 户 在 什么 时 间 拥 有 一 个 什么 样 的 电子 文件 
(数据 电文 ) 。 

时 间 截 主要 用 在 商业 秘密 保护 .工作 文档 的 责任 认定 .著作 权 保 护 、. 原 创作 品 、 软 件 代 
码 、 发 明 专 利 、. 学 术 论文 .试验 数据 .电子 单据 等 方面 。 时 间 戳 的 颁发 ,必须 要 由 可 信 的 第 三 
方 时 间 戳 服务 机 构 提供 可 信赖 的 且 不 可 抵赖 的 时 间 截 服务 ,其 产生 的 时 间 戳 才 具 有 法 律 效 
力 。 时 间 戳 服务 中 心 (Time Stamp Authority.TSA) 是 由 国家 授时 中 心 与 共同 建设 的 权威 
第 三 方 公共 时 间 戳 服务 机 构 。 

时 间 截 服务 是 时 间 惟 服务 中 心 通过 我 国法 定时 间 源 和 现代 密码 技术 相 结合 而 提供 的 一 
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种 第 三 方 服 务 ,时 间 惟 有 效 证 明了 数据 电文 (电子 文件 ) 产 生 的 时 间 及 内 容 完整 性 ,解决 了 数 
据 电 文 (电子 文件 ) 的 内 容 和 时 间 易 被 人 为 自 改 \ 证 据 效力 低 、 当 事 人 举证 困难 的 问题 。 按 照 
《中 华人 民 共 和 国电 子 签名 法 》 的 有 关 规 定 , 加 盖 了 时 间 戳 的 数据 电文 (电子 文件 ) 可 以 作为 
有 效 的 法 律 证 据 , 达 到 “不 可 否认 ”或 “ 抗 抵赖 ”的 目的 。 

6. 数字 证 书 的 定义 

数字 身份 认证 是 基于 国际 PKI 标准 的 网 上 身份 认证 系统 ,数字 证 书 相 当 于 网 上 的 身份 
证 , 它 以 数字 签名 的 方式 通过 第 三 方 权威 认证 有 效 地 进行 网 上 身份 认证 ,帮助 各 个 实体 识 
别 对 方 身份 和 表明 自身 的 身份 ,具有 真实 性 和 防 抵赖 功能 。 与 物理 身份 证 不 同 的 是 , 数 
字 证 书 还 具有 安全 、 保 密 、 防 自 改 的 特性 ,可 对 企业 网 上 传输 的 信息 进行 有 效 保护 和 安全 

从 数字 签名 使 用 对 象 的 角度 ,目前 的 数字 证 书 类 型 主要 包括 个 人 身份 证 书 、 企 业 机 构 身 
份 证 书 、 支 付 网 关 证 书 、 服 务 器 证 书 、 安 全 电子 邮件 证 书 、 个 人 代码 签名 证 书 。 这 些 数字 证 书 
特点 各 有 不 同 。 

从 数字 证 书 的 技术 角度 分 ,CA 中 心 发 放 的 证 书 分 为 两 类 : SSL 证 书 和 SET 证书。 
SSL 证 书 是 服务 于 银行 对 企业 或 企业 对 企业 的 电子 商务 活动 的 ; SET( 安 全 电子 交易 ) 证 书 
则 服务 于 持 卡 消费 .网 上 购物 。 虽 然 它 们 都 是 用 于 识别 身份 和 数字 签名 的 证 书 , 但 它们 的 信 
任 体系 完全 不 同 ,而 且 所 符合 的 标准 也 不 一 样 。 简 单 地 说 ,SSL 数字 证 书 的 作用 是 通过 公 
开 密 钥 证 明 持 证 人 的 身份 ,SET 证 书 的 作用 是 通过 公开 密 钥 证 明 持 证 人 在 指定 银行 确实 拥 
有 该 信用 卡 账号 ,同时 也 证 明了 持 证 人 的 身份 。 

(1) 个 人 身份 证 书 : 符合 X. 509 标准 的 数字 安全 证 书 , 证 书 中 包含 个 人 身份 信息 和 个 
人 的 公 钥 ,用 于 标识 证 书 持 有 人 的 个 人 身份 。 数 字 安 全 证 书 和 对 应 的 私 钥 存储 于 E-key 中 ， 
用 于 个 人 在 网 上 进行 合同 签订 订单 .录入 审核 .操作 权限 .支付 信息 等 活动 中 标明 身份 。 

(2) 企业 机 构 身 份 证 书 : 符合 X. 509 标准 的 数字 安全 证 书 , 证 书 中 包含 企业 信息 和 企 
业 的 公 钥 ,用 于 标识 证 书 持 有 企业 的 身份 。 数 字 安 全 证 书 和 对 应 的 私 钥 存 储 于 E-key 或 IC 
卡 中 ,可 以 用 于 企业 在 电子 商务 方面 的 对 外 活动 ,如 合同 签订 、 网 上 证 券 交 易 .交易 支付 信息 
等 方面 。 

(3) 支付 网 关 证 书 : 是 证 书签 发 中 心 针 对 支付 网 关 签 发 的 数字 证 书 ,是 支付 网 关 实 现 
数据 加 解密 的 主要 工具 ,用 于 数字 签名 和 信息 加 密 。 支 付 网 关 证 书 仅 用 于 支付 网 关 提 供 的 
服务 (Internet 上 各 种 安全 协议 与 银行 现 有 网 络 数据 格式 的 转换 ) 。 

(4) 服务 器 证 书 : 符合 X. 509 标准 的 数字 安全 证 书 , 证 书 中 包含 服务 器 信息 和 服务 器 
的 公 钥 ,在 网 络 通信 中 用 于 标识 和 验证 服务 器 的 身份 。 数 字 安 全 证 书 和 对 应 的 私 钥 存储 于 
E-key 中 。 服 务 器 软件 利用 证 书 机 制 保证 与 其 他 服务 器 或 客户 端 通信 时 双方 身份 的 真实 
性 、 安 全 性 、 可 信任 度 等 。 

(5) 企业 机 构 代 码 签名 证 书 : 是 CA 中 心 签发 给 软件 提供 商 的 数字 证 书 , 包 含 软件 提供 
商 的 身份 信息 、 公 钥 及 CA 的 签名 。 软 件 提 供 商 使 用 代码 签名 证 书 对 软件 进行 签名 后 放 到 
Internet 上 , 当 用 户 在 Internet 上 下 载 该 软件 时 将 会 得 到 提示 ,从 而 可 以 确信 : 软件 的 来 源 ; 
软件 自 签名 后 到 下 载 前 ,没有 遭 到 修改 或 破坏 。 代 码 签名 证 书 可 以 对 32-bit. exe、. cab、. 
ocx、. class 等 程序 和 文件 进行 签名 。 

(6) 安全 电子 邮件 证 书 : 符合 X. 509 标准 的 数字 安全 证 书 , 通 过 IE 或 Netscape 申请 ， 
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用 IE 申请 的 证 书 存储 于 Windows 的 注册 表 中 ,用 Netscape 申请 的 证 书 存储 于 个 人 用 户 目 
录 下 的 文件 中 。 用 于 安全 电子 邮件 或 需要 客户 验证 身份 的 Web 服务 器 (https 服务 ) 。 

(7) 个 人 代码 签名 证 书 : 是 CA 中 心 签发 给 软件 提供 人 的 数字 证 书 , 包 含 软件 提供 个 人 
的 身份 信息 、 公 钥 及 CA 的 签名 。 软 件 提供 人 使 用 代码 签名 证 书 对 软件 进行 签名 后 放 到 
Internet 上 , 当 用 户 在 Internet 上 下 载 该 软件 时 将 会 得 到 提示 ,从 而 可 以 确信 : 软件 的 来 源 ; 
软件 自 签 名 后 到 下 载 前 ,没有 遭 到 修改 或 破坏 。 代 码 签名 证 书 可 以 对 32-bit. exe、. cab、 
. ocx\. class 等 程序 和 文件 进行 签名 。 

证 书 的 撤销 列表 是 一 个 被 签署 的 列表 , 它 指定 了 一 套 证 书 发 布 者 认为 无 效 的 证 书 。 除 
了 普通 CRL 外 ,还 定义 了 一 些 特殊 的 CRL 类 型 用 于 覆盖 特殊 领域 的 CRL。CRL 一 定 是 被 
CA 所 签署 的 ,可 以 使 用 与 签发 证 书 相同 的 私 钥 ,也 可 以 使 用 专门 的 CRL 签发 私 铀 。CRL 
中 包含 了 被 吊销 证 书 的 序列 号 。 


3.7 实 训 


慨 训 ”PGP 加 密 解 密 应 用 

实 训 目的 : 掌握 对 称 加 密 、 公 钥 加 密 数字 签名 .认证 ,熟悉 PGP 加 密 原理 ,软件 操作 以 
及 在 电子 邮件 中 的 应 用 。 

实 训 准备 : 熟悉 PGP 系统 的 基本 工作 原理 。 

PGP 是 一 个 基于 RSA 公 匙 加 密 体系 和 对 称 加 密 体系 的 邮件 加 密 软 件 包 。PGP 的 功能 
主要 有 两 方面 ,PGP 可 以 对 所 发 邮件 进行 加 密 以 防止 非 授权 者 阅读 ,保障 信息 的 机 密 性 ; 
PGP 还 能 对 所 发 邮件 进行 数字 签名 ,从 而 使 接收 者 确信 邮件 的 发 送 者 ,并 确信 邮件 没有 被 
算 改 或 伪造 ,也 就 是 信息 的 认证 性 。 在 密 钥 管理 方面 .PGP 让 用 户 可 以 安全 地 和 从 未 见 过 
的 人 们 通信 ,事先 并 不 需要 任何 保密 的 渠道 来 传递 密 匙 。PGP 系统 采用 了 审慎 的 密 钥 管 
理 , 一 种 RSA 和 传统 Hash 算法 ,用 于 数字 签名 邮件 摘要 算法 的 加 密 前 压缩 。 结 合 已 学 密 
码 学 知识 ,简单 介绍 PGP 系统 的 工作 原理 ,如 图 3-31 所 示 。 


加 密 后 的 密 钥 KR 和 加 密 后 
的 报 文 M1.2Z 拼 接 在 一 起 


SHA-1(M) H MI 人 
SHA-1 RSA ZIP BASE64 
算法 压缩 编码 发 送 至 
邮件 M 1 网 络 上 
采用 SHA-1 采用 SKA 采用 密 钥 K 加 密 
算法 产生 的 签名 邮件 摘要 7 
“邮件 摘要 ” 


采用 PKB 加 密 密 钥 坟 
图 3-31 PGP 系统 工作 原理 


假设 Alice 要 发 送 一 个 邮件 M 给 Bob ,要 用 PGP 软件 加 密 。 首 先 ,Alice 和 Bob 知道 自 
己 的 私 钥 (SKA ,SKB) ,并 且 必 须 获得 彼此 的 公 钥 (PKA .PKB)。 

Alice 发 送 方 , 邮 件 M 通过 SHA-1 算法 运算 生成 一 个 128 位 的 邮件 摘要 (Message 
Digest) , Alice 使 用 自己 的 私 钥 SKA 和 采用 RSA 算法 对 这 个 邮件 摘要 进行 数字 签名 ,得 到 


第 3 章 密码 学 基础 与 应 用 63 


邮件 摘要 密 文 也 ,和 密 文 瓦 使 Bob 可 以 确认 该 邮件 的 来 源 。 邮 件 M 和 互 拼接 在 一 起 产生 报 
文 M1, 经 过 ZIP 压缩 ,得 到 M1. Z。 接 着 ,对 报 文 M1.Z 使 用 对 称 加 密 算法 (采用 IDEA) , 提 
供 数 据 机 密 性 。 加 密 密 钥 是 随机 产生 的 一 次 性 的 临时 加 密 密 钥 , 即 128 位 的 K, 在 PGP 中 
称 为 会 话 密 钥 。 此 外 , 密 钥 KK 通过 RSA 和 Bob 的 公 钥 PKB 进行 加 密 , 以 确保 消息 只 能 被 
Bob 的 私 钥 解 密 , 提 供 了 身份 认证 。 加 密 后 的 密 钥 K 和 加 密 后 的 报 文 M1. Z 拼接 在 一 起 ， 
用 BASE64 进行 编码 ,编码 目的 是 得 出 ASCII 文件 ,通过 网 络 发 送 给 Bob。 

Bob 接收 方 , 解 密 过 程 正好 与 发 送 方 相反 。Bob 收 到 加 密 邮件 后 ,首先 使 用 BASE64 解 
码 , 并 用 RSA 算法 和 自己 的 私 钥 SKB 解 出 用 于 对 称 加 密 的 密 钥 KK, 用 恢复 出 M1.Z。 接 
着 ,对 M1.Z 解压 后 还 原 出 M1, 在 M1 中 分 解 出 明文 M 和 加 密 后 的 邮件 摘要 ,并 用 Alice 的 
公 钥 PKA 恢复 邮件 摘要 信息 。 最 后 ,比较 邮件 摘要 和 Bob 自己 计算 出 的 邮件 摘要 是 否 一 
致 ,如 果 一 致 则 认为 M 确实 为 Alice 发 出 的 邮件 。 

实 训 内 容 : PGP 软件 包 使 用 , 密 钥 对 生成 ,文件 加 密 与 解密 ,邮件 加 密 与 解密 、 签 名 与 
验证 。 

(1) PGP 软件 包 使 用 。 

PGP 新 用 户 没有 PGP 密 钥 , 则 在 图 3-32 所 示 对 话 框 中 选择 No,T"m a New User, 然 后 
在 如 图 3-33 所 示 对 话 框 中 选择 所 需 安装 组 件 。 例 如 ,如 果 选 中 PGPmail for Microsoft 
Outlook Express 选项 ,就 可 以 在 Outlook Express 中 直接 用 PGP 加 密 邮 件 内容 。 最 后 , 必 
须 重新 启动 计算 机 完成 安装 。 


User Type 
Please tell us f you have existing PGP Keyrings you'd lke to use. 


图 3-32 选择 用 户 类 型 


启动 计算 机 后 ,用 户 通过 “开始 ”一 “程序 ”PGP 找到 PGP 软件 包 的 工具 盒 , 在 操作 系 
统 任务 栏 右 下 方 的 一 个 锁 状 PGPtray 图 标 (图 3-34)。 用 户 可 以 使 用 PGPmail、PGPKeys 和 
PGPDisk 的 功能 ,如 图 3-35 所 示 为 PGPmail 工具 条 和 PGPDisk 菜单 。 

(2) PGP 导出 密 钥 对 。 

QO@ 选择 “开始 ”| “程序”| PGP|PGPkeys 命令 ,启动 PGPkeys, 如 图 3-36 所 示 。 

@ 选择 Keys| New Key 命令 ,出 现 Key Generation Winzard 向 导 , 开 始 创建 密 钥 对 。 

@ 输入 全 名 和 邮件 地 址 (每 一 对 密 钥 对 应 一 个 确定 的 用 户 )。 用 户 名 不 一 定 要 真实 ,但 
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区 
Select Components 
Choose the components Setup wil install 


- PGPmai for ICQ 
PGPmai for Microsoft Outlook 


OEY PGPmai for Qualcomm Eudora 
-DI@ PGPmal for GroupWise 


图 3-33 选择 组 件 
目 晶 国 
Wide 


About PGP... 
License... 


Help 
Options. 


Purge 5 


~” rordisk » 


国 PGPnail 


Current Window 全 
Clipboard 全 


网 PGpmail - 又 


加 四 EIEPE; 


PGPkeys 


Fie Edt View Keys Server Groups Help 
对 等 罗 钙 | 万科 天 他 


1 yalidity | Trust ，Size 1 _ Description| 


图 3-36 ”PGPkeys 启动 界面 
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是 通信 者 看 到 该 用 户 名 后 能 知道 这 个 用 户 名 对 应 的 真实 的 人 ; 邮件 地 址 不 需要 真实 ,但 是 
与 你 通信 的 人 能 在 多 个 公 钥 中 快速 找 出 你 的 公 钥 , 如 图 3-37 所 示 。 


PEP Rey Peneralion Wizard 


Name and Email Assi 
Every key pair must have a name associated withit The name and emall address et 
your comespondents know that the public key they are Using belongs to you. 


Fulname: |Shanahai 


By associating sn emall address with your key pai, you will enable PGP to assist your 
comespondents in selectng the comect public key when communicating with you 


Emailaddress: |ShanahaiQ@shiep. edu cnj 


图 3-37 密 钥 生 成 界面 
@ 在 要 求 输入 Passphrase 的 文本 框 中 ,两 次 输入 Passphrase 并 再 次 确认 ; 这 里 的 
Passphrase 我 们 可 以 理解 为 保护 自己 私 钥 的 密码 ,如 图 3-38 和 图 3-39 所 示 。 
PGP Key Generation Wizard 
assphrase Assignment 
Your private key wil be protected by a passphrase Itis important that you keep this 
passphrase sectet and do not writle t down. 


Your passphtase should be at least 8 characters long and should contain 
nor-alphabetic characters. 


Hide Typing 


Pech 总 Disney 


Passphrase Qualty: CS 


Confimatiore 人 Disney| 


图 3-38 输入 用 户口 令 


@ 在 PGP 完成 创建 密 钥 对 后 , 单 击 下 一 步 " 按 钮 。 单 击 “ 完 成 "按钮 ,打开 PGPkeys 主 
界面 ,如 图 3-40 所 示 。 找 到 并 展开 创建 的 密 钥 对 并 右 击 ,在 弹出 的 快捷 菜单 中 选择 Key 
Properties 命令 。 

接着 导出 公 钥 ,把 公 钥 作为 一 个 文件 保存 在 硬盘 上 ,并 把 公 钥 文件 作为 邮件 附件 发 
送 给 希望 进行 安全 通信 的 联系 人 。 选 择 Keys 一 Export 命令 ,如 图 3-41 所 示 。 

(3) 文件 加 密 与 解密 。 

有 了 对 方 的 公 钥 之 后 ,可 以 用 对 方 公 钥 对 文件 进行 加 密 , 然 后 发 送 给 对 方 。PGP 具体 


66 信息 安全 基础 


FEPKEy Generation Wizard 


Key Generation Progress 
Key generation can involve multiple steps. Some of these steps may require several 
minutes to complete. 


Key generation steps: 
v GeneraingKey 
v Generating Subkey 


< 上 一 步 6) 取消 | 


图 3-39 密 钥 生 成 过 程 


了 pGPkeys 
Fle Edt Yiew Keys Server Groups Help 
史记 人 人 区 居 他 访 加 
Keys yalidity Trust Size Description| 
Shonchai Shanghai@shiep... @ 22223 2048/1024 DMDSS key 
日 国 Shanghai GhanehaiQshiep. «. o Vser I 
内 Shanghai ShanehaiQshie. DSS exporta| 


图 3-40 已 经 生成 密 钥 图 


Sin... ChH5 
Set as Defauk Key ”ctbHD 
» jaity ，Trast Size Description 
nable mea 2048/1024 
Disable Vser ID 
Revoke... TSS exportable sienature| 


Reverify Signatures 


New Key.. CuHN 
Share Splt.,. 


图 3-41 密 钥 的 导出 


操作 如 下 : 选中 要 加 密 的 文件 ,在 弹出 的 快捷 菜单 中 选择 PGP|Encrypt 命令 ,如 图 3-42 所 
示 。 在 密 钥 选择 对 话 框 中 ,选择 要 接收 文件 的 接收 者 。 注 意 , 用 户 所 持 有 的 密 钥 全 部 列 在 对 
话 框 的 上 部 分 ,选择 要 接收 文件 人 的 公 钥 ,将 其 公 钥 拖 到 对 话 框 的 下 部 分 (Recipients) ,如 
图 3-43 所 示 。 单 击 OK 按钮 ,并 且 为 加 密 文 件 设置 保存 路 径 和 文件 名 。 
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中 PGPshell - Key Selection Dialog 


Drag users from this list to the Recipients st 


图 3-43 选择 接收 者 


用 户 可 将 加 密 文 件 和 签名 文件 作为 电子 邮件 的 附件 发 送 给 其 他 人 。 如 果 用 户 的 邮件 软 
件 已 经 安装 了 PGP 插件 ,那么 加 密 和 签名 的 操作 可 以 在 邮件 软件 中 进行 。 此 时 ,你 就 可 以 
把 该 加 密 文 件 传送 给 对 方 。 对 方 接收 到 该 加 密 文 件 后 ,选中 该 文件 并 右 击 ,在 弹出 的 快捷 菜 
单 中 选择 Decrypt & Verify 命令 或 双击 加 密 文件 图 标 , 如 图 3-44 所 示 。 在 图 3-45 所 示 的 
对 话 框 中 ,输入 私 钥 的 密码 (如 Shanghai Disney) ,输入 完 后 , 单 击 OK 按钮 即 可 , 接 下 来 ,要 
为 已 经 解密 的 明文 文件 设置 保存 路 径 和 文件 名 。 保 存 后 ,明文 就 可 以 被 直接 查看 了 。 

(4) PGP 邮件 加 密 与 解密 、 签 名 与 验证 。 

使 用 PGP 对 邮件 内 容 进 行 加 密 、 签 名 的 操作 原理 和 对 文件 的 加 密 、 签 名 一 样 ,都 是 选择 
对 方 的 公 钥 进行 加 密 而 用 自己 的 私 钥 进行 签名 ,对 方 收 到 后 使 用 自己 的 私 钥 进行 解密 ,而 使 
用 对 方 的 公 钥 进行 签名 验证 。 在 具体 操作 上 , 先 要 将 要 加 密 、 签 名 的 邮件 内 容 复 制 到 剪贴 板 


贺 压 编 到 "操作 系统 安全 张 迎春 .doc.zp'(P) 
区 条 加 到 压强 文件 (A).,. 

沁 加 到 “ 哲 作 录 统 安全 张 迎春 .doc.rar"(T) Message was enctypted to the folowing public keyls} 
Shanghai ChanghaiQshiep. edu. cn> DH/2048) 


PGPmail Enter Passphrase 


Enter passphrase for your private key; DHide Typing 
~ Disney| 


Ee Ce 


图 3-45 输入 密 钥 


上 ,然后 选择 操作 系统 右 下 角 PGP 图 标 中 的 Clipboard| Encrypt & Sign 命令 ,如 图 3-46 所 
示 。 在 随后 出 现 的 对 话 框 中 ,和 上 述 对 文件 的 操作 一 样 ,选择 对 方 的 公 钥 进行 加 密 , 用 自己 
的 私 钥 进行 签名 。PGP 动作 完成 后 ,会 将 加 密 和 签名 的 结果 自动 更 新 到 剪贴 板 中 。 此 时 回 
到 邮件 编辑 状态 ,只 需 将 剪贴 板 的 内 容 粘 贴 过 来 ,就 会 得 到 加 密 和 签名 后 的 邮件 ,操作 过 程 
如 图 3-47 一 图 3-49 所 示 。 


图 3-46 。 ”Encrypt & Sign 对 邮件 加 密 和 签名 


对 方 收 到 加 密 和 签名 邮件 后 ,也 同样 先 将 邮件 内 容 复 制 到 剪贴 板 中 ,然后 选择 操作 系统 
右 下 角 PGP 图 标 中 的 Clipboard| Decrypt & Verify 命令 完成 解密 和 验证 签名 。 解 密 和 验 
证 签名 完成 后 ,PGP 会 自动 出 现 Text Viewer 窗口 以 显示 结果 ,如 图 3-50 所 示 。 可 以 通过 
按钮 将 结果 复制 到 剪贴 板 中 ,然后 再 粘贴 到 需要 的 地 方 。 
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5 PGPtray - Key Selection Dialog 


Drag users from this ist to the Recipients lst 


图 3-47 ”加密 密 钥 选 择 对 话 框 


PGPtray - Enter Passphrase 


Signing key: | shanghai <Shanghai@shiep. edu en> (ISS/1024) | 
Enter passphrase for above keyr 二 Hide Typing 


Disney| 


Ee Ce 


图 3-48 输入 私 钥 


文件 (5) 编辑 (5) ”查看 (W) 插入 (D 格式 (0) 工具 (D 邮件 (M) 帮助 (由 


晤 | 包 罗 电台 | 区 | 者 


发 送 剖 林 
国 收 件 人 :shanghaiGsonu com 


SE 


-----BEGIN PGP MESSAGE----- 

Version: PGP 8.1 - not licensed for commercial use: J 

www.pgp.com 1 
| 


| 

dANQRIDBwU4DLrSstMOu1OZ4QB/wLErkUILfKVEGrSLGo2VE 
FKRbgAOmgSq7EhshN606DxAYJ4618Gd410yv7ITHEBMOxebKIT 
4nRLvnJhTaAl1EWQhbi3KedYKRAAQ62w4+GnNTgrc8lIEbOl 
9EaCKnHLLoY4KQhnlSWdPabxbTsvvuScvVIT/Bm35+9oShCnE 
VgKRTzG7RWdSekGzsLL68JK1dEIUkloFnYOVowWfmnAV64N5S' 
oISiQuZ2YAoLAjsgSwtux8lFlh4LJziAIByPMSVvxqxddTSSFB/wP 


4 il | b 


图 3-49 ”加密 和 签名 后 不 可 识别 的 文件 


70 


es PGP SIGNATURE VERIFICATION #** 
x Status; Good Signature 
i Shanghai Shanghai@shiep.edu.cn> (0x81DBB7AC) 
52 


11 
aa 天 Verified: 2010-3-18 4:14 
I 


一 54 
xx¥ BEGIN PGP DECRYPTED/VERIFIED MESSAGE x#* 
Velcone to Shanghai Expo 2010 


图 3-50 ”Text Viewer 窗口 中 显示 结果 


实 训 报告 : 验证 PGP 在 电子 邮件 中 的 应 用 。 

@ 因特网 邮件 系统 主要 构成 部 件 : 用 户 代理 .邮件 服务 器 和 简单 邮件 传输 协议 。 
@ Outlook Express 系统 主要 构成 .收发 邮件 和 使 用 技巧 。 

@ Outlook Express 加 密 、 签 名 和 解密 、 验 证 的 基本 功能 。 


第 4 章 网 络 攻击 与 安全 防范 


网 络 信息 安全 是 社会 稳定 安全 的 必要 前 提 条 件 。 人 们 的 生活 已 经 无 法 脱离 对 网 络 与 计 
算 机 的 依赖 ,但 是 网 络 是 开放 的 、 共 享 的 ,因此 ,网 络 与 计算 机 系统 安全 就 成 为 科学 研究 的 
一 个 重大 课题 。 面 面 对 网 络 与 计算 机 安全 的 研究 不 能 局 限于 防御 手段 ,还 要 从 非法 获取 
目标 主机 的 系统 信息 、 非 法 挖掘 系统 弱点 等 技术 进行 研究 。 本 章 介绍 网 络 攻击 技术 基本 
概念 、 网 络 攻 击 的 一 般 流程 ,重点 介绍 网 络 攻击 目的 、 常 见 攻击 方法 ,以 及 如 何 防 范 网 络 
攻击 。 


4.1 网 络 攻击 技术 


4.1.1 网 络 攻击 技术 概述 


网 络 攻 击 是 对 网 络 安全 威胁 的 具体 体现 。 互 联网 目前 已 经 成 为 全 球 信息 基础 设施 的 骨 
干 网 络 ,互联 网 本 身 所 具有 的 开放 性 和 共享 性 对 信息 的 安全 问题 提出 了 严峻 挑战 。 由 于 系 
统 脆弱 性 的 客观 存在 ,操作 系统 .应 用 软件 、 硬 件 设 备 不 可 避免 地 存在 一 些 安全 漏洞 ,网 络 协 
议 本 身 的 设计 也 存在 一 些 安全 隐患 ,这些 都 为 攻击 者 采用 非 正 常 手 段 人 侵 系 统 提 供 了 可 乘 
之 机 。 

十 几 年 前 ,网 络 攻击 还 仅 限 于 破解 口令 和 利用 操作 系统 漏洞 等 有 限 的 几 种 方法 ,然而 目 
前 网 络 攻 击 技术 已 经 随 着 计算 机 和 网 络 技 术 的 发 展 逐 步 成 为 一 门 完整 系统 的 科学 , 它 歧 括 
了 目标 系统 信息 收集 、 弱 点 信息 挖掘 分 析 、 目 标 使 用 权限 获取 攻击 行为 隐蔽 、 攻 击 实施 、 开 
辟 后 门 以 及 攻击 痕迹 清除 等 各 项 技术 。 

目前 网 络 攻击 技术 和 攻击 工具 发 展 很 快 ,使 得 一 般 的 计算 机 爱好 者 要 想 成 为 一 名 准 黑 
客 非 常 容易 。 常 见 网 络 攻击 技术 有 网 络 嗅 探 技 术 、 缓 冲 区 溢出 技术 ,拒绝 服务 攻击 技术 、IP 
欺骗 技术 、 密 码 攻 击 技术 等 ; 常见 的 网 络 攻击 工具 有 安全 扫描 工具 ,监听 工具 、 口 令 破 译 工 
具 等 。 网 络 攻击 技术 和 攻击 工具 的 迅速 发 展 使 得 各 个 单位 的 网 络 信息 安全 面临 越 来 越 大 的 
风险 。 要 保证 网 络 信息 安全 就 必须 想 办 法 在 一 定 程度 上 克服 以 上 种 种 威胁 ,加 深 对 网 络 攻 
击 技术 发 展 趋势 的 了 解 ,尽早 采取 相应 的 防护 措施 。 目 前 ,网 络 攻击 技术 和 攻击 工具 正在 以 
下 几 个 方面 快速 发 展 。 

1. 网 络 攻击 阶段 自动 化 

当 网 络 安全 专家 用 “自动 化 "描述 网 络 攻击 时 ,网 络 攻击 已 经 开始 了 一 个 新 的 令 人 忍 惧 
的 里程碑”, 就 像 工业 自动 化 带 来 效率 飞速 发 展 一 样 , 网 络 攻击 的 自动 化 促使 了 网 络 攻击 速 
度 的 大 大 提高 。 自 动 化 攻击 一 般 涉 及 四 个 阶段 。 

(1) 扫描 阶段 。 

攻击 者 采用 各 种 新 出 现 的 扫描 技术 (隐藏 扫描 、 安 全 扫描 、 智 能 扫描 、 指 纹 识别 等 ) 来 推 
动 扫描 工具 的 发 展 ,使 得 攻击 者 能 够 利用 更 先进 的 扫描 模式 来 改善 扫描 效果 ,提高 扫描 速 
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度 。 最 近 一 个 新 的 发 展 趋势 是 把 漏洞 数据 同 扫 描 代 码 分 离 出 来 并 标准 化 ,使 得 攻击 者 能 自 
行 对 扫描 工具 进行 更 新 。 

(2) 渗透 控制 阶段 。 

传统 的 植 人 方式 ,如 邮件 附件 植 和 文件 捆绑 植 入 ,已 经 不 再 有 效 , 因 为 现在 人 们 普遍 都 
安装 了 杀毒 软件 和 防火 墙 。 随 之 出 现 的 先进 的 隐藏 远程 植 人 方式 ,如 基于 数字 水 印 远程 植 
和信 方式、 基于 动态 链接 库 (DLL) 和 远程 线程 插入 的 植 和 人 技术 ,能 够 成 功 地 躲避 防 病毒 软件 的 
检测 将 受 控 端 程序 植 人 到 目的 计算 机 中 。 

(3) 传播 攻击 阶段 。 

以 前 需要 依靠 人 工 启动 工具 发 起 的 攻击 ,现在 发 展 到 由 攻击 工具 本 身 主动 发 起 新 的 

(4) 攻击 工具 协调 管理 阶段 。 

随 着 分 布 式 攻击 工具 的 出 现 ,攻击 者 可 以 很 容易 地 控制 和 协调 分 布 在 Internet 上 的 大 
量 已 经 部 署 的 攻击 工具 。 目 前 ,分 布 式 攻击 工具 能 够 更 有 效 地 发 动 拒绝 服务 攻击 ,扫描 潜在 
的 受害 者 ,危害 存在 安全 隐患 的 系统 。 

2. 网 络 攻 击 智能 化 

随 着 各 种 智能 性 的 网 络 攻击 工具 的 涌现 ,普通 技术 的 攻击 者 都 有 可 能 在 较 短 的 时 间 内 
向 脆弱 的 计算 机 网 络 系统 发 起 攻击 。 安 全 人 员 若 要 在 这 场 人 侵 的 网 络 战争 中 获胜 ,首先 要 
做 到 * 知 披 知己 ”, 才 能 采用 相应 的 对 策 组 织 这 些 攻击 。 

目前 攻击 工具 的 开发 者 正在 利用 更 先进 的 思想 和 技术 来 武装 攻击 工具 ,攻击 工具 的 特 
征 比 以 前 更 难 发 现 。 相 当 多 的 工具 已 经 具备 了 反 侦破 、 智 能 动态 行为 .攻击 工具 变异 等 
特点 。 

反 侦 破 是 指 攻 击 者 越 来 越 多 地 采用 具有 隐蔽 攻击 工具 特性 的 技术 ,使 得 网 络 管理 人 
员 和 网 络 安全 专家 需要 耗费 更 多 的 时 间 分 析 新 出 现 的 攻击 工具 和 了 解 新 的 攻击 行为 。 
智能 动态 行为 是 指 现在 的 攻击 工具 能 根据 环境 自 适应 地 选择 ,或 预先 定义 决定 策略 路 径 
来 应 对 他 们 的 模式 和 行为 变化 ,并 不 像 早 期 的 攻击 工具 那样 ,仅仅 以 单一 确定 的 顺序 执 
行 攻 击 步 又。 攻击 工具 变异 是 指 攻 击 工 具 已 经 发 展 到 可 以 通过 升级 或 更 换 工 具 的 一 部 
分 迅速 变化 自身 ,进而 发 动 迅 速 变 化 的 攻击 , 且 在 每 一 次 攻击 中 会 出 现 多 种 不 同形 态 的 
攻击 工具 。 

3. 安全 漏洞 被 利用 的 速度 越 来 越 快 

安全 漏洞 是 危害 网 络 安全 最 主要 的 因素 ,安全 漏洞 并 没有 厂商 和 操作 系统 平台 的 区 别 ， 
它 在 所 有 的 操作 系统 和 应 用 软件 中 都 是 普遍 存在 的 。 新 发 现 的 各 种 操作 系统 与 网 络 安全 漏 
洞 每 年 都 要 增加 一 倍 , 网 络 安全 管理 员 需 要 不 断 用 最 近 的 补丁 修补 相应 的 漏洞 。 但 攻击 者 
经 常 能 够 抢 在 厂商 发 布 漏洞 补丁 之 前 ,发 现 这 些 未 修补 的 漏洞 同时 发 起 攻击 。 

4. 防火 墙 的 渗透 率 越 来 越 高 

配置 防火 墙 目 前 仍然 是 企业 和 个 人 防范 网 络 人 侵 者 的 主要 防护 措施 。 但 是 ,一 直 以 来 ， 
攻击 者 都 在 研究 攻击 和 躲避 防火 墙 的 技术 和 手段 。 从 他 们 攻击 防火 墙 的 过 程 看 ,大 概 分 为 
两 类 。 第 一 类 攻击 防火 墙 的 方法 是 探测 在 目标 网 络 上 安装 的 是 何 种 防火 墙 系统 ,并 且 找 出 
此 防火 墙 系统 允许 哪些 服务 开放 ,这 是 基于 防火 墙 的 探测 攻击 。 第 二 类 攻击 防火 墙 的 方法 
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是 采取 地 址 欺骗 、TCP 序列 号 攻击 等 手法 绕 过 防火 墙 的 认证 机 制 , 达 到 攻击 防火 墙 和 内 部 
网 络 的 目的 。 

5. 安全 威胁 的 不 对 称 性 在 增加 

Internet 上 的 安全 是 相互 依赖 的 ,每 个 Internet 系统 遭受 攻击 的 可 能 性 取决 于 连接 到 
全 球 Internet 上 其 他 系统 的 安全 状态 。 由 于 攻击 技术 水 平 的 进步 ,攻击 者 可 以 比较 容易 地 
利用 那些 不 安全 的 系统 ,对 受害 者 发 动 破坏 性 的 攻击 。 随 着 部 署 自动 化 程度 和 攻击 工具 管 
理 技巧 的 提高 ,威胁 的 不 对 称 性 将 继续 增加 。 

6. 对 网 络 基础 设施 的 破坏 越 来 越 大 

由 于 用 户 越 来 越 多 地 依赖 网 络 提 供 各 种 服务 来 完成 日 常 相关 业务 ,攻击 者 攻击 位 于 
Internet 关键 部 位 的 网 络 基础 设施 造成 的 破坏 影响 越 来 越 大 。 对 这 些 网 络 基础 设施 的 攻 
击 , 主 要 手段 有 分 布 式 拒绝 服务 攻击 、 蠕 虫 病毒 攻击 、 对 Internet 域名 系统 (DNS) 的 攻击 和 
对 路 由 器 的 攻击 。 尽 管 路 由 器 保 护 技术 早已 成 型 .但 许多 用 户 并 未 充分 利用 路 由 器 提供 的 
加 密 和 认证 的 特性 进行 相应 的 安全 防护 。 


4.1.2 网 络 攻 击 的 一 般 流 程 


网 络 攻击 的 具体 过 程 一 般 分 为 以 下 8 个 阶段 。 

(1) 攻击 身份 和 位 置 隐藏 。 隐 藏 网 络 攻击 者 的 身份 及 主机 位 置 ,可 以 通过 利用 入 侵 主 
机 (肉鸡 ) 作 为 跳板 .利用 电话 转 接 技术 、 盗 用 他 人 的 账号 上 网 .通过 免费 网 关 代理 、 伪 造 IP 
地 址 和 假冒 用 户 账号 等 技术 实现 。 

(2) 目标 系统 信息 收集 。 确 定 攻击 目标 并 收集 目标 系统 的 有 关 信 息 ,目标 系统 信息 收 
集 包 括 : 系统 的 一 般 信息 (硬件 平台 类 型 .系统 的 用 户 、 系 统 的 服务 与 应 用 等 ) ,系统 及 服务 
的 管理 .配置 情况 ,系统 口令 的 安全 性 ,系统 提供 的 服务 的 安全 性 等 信息 。 

(3) 弱点 信息 挖掘 分 析 。 从 收集 到 的 目标 信息 中 提取 可 使 用 的 漏洞 信息 ,包括 系统 或 
应 用 服务 软件 漏洞 .主机 信任 关系 漏洞 .目标 网 络 的 使 用 者 漏洞 .通信 协议 漏洞 、 网 络 业务 系 
统 漏 洞 等 。 

(4) 目标 使 用 权限 获取 。 获 取 目 标 系统 的 普通 或 特权 账户 权限 ,获得 系统 管理 员 的 口 
邻 ,利用 系统 管理 上 的 漏洞 , 令 系 统管 理 员 运 行 特洛伊 木马 程序 , 穷 听 管理 员 口 今 。 

(5) 攻击 行为 隐藏 。 隐 藏 在 目标 系统 中 的 操作 ,防止 攻击 行为 被 发 现 。 连 接 隐藏 ,冒充 
其 他 用 户 、 修 改 LOGNAME 环境 变量 、 修 改 登录 日 志文 件 、 使 用 IP SPOOF 技术 ; 进程 隐 
藏 ,使 用 重 定向 技术 减少 PS 给 出 的 信息 量 、 用 木马 代替 PS 程序 ; 文件 隐藏 ,利用 字符 串 的 
相似 来 麻痹 系 统管 理 员 ,或 修改 文件 属性 使 普通 显示 方法 无 法 看 到 ; 利用 操作 系统 可 加 载 
模块 的 特性 ,隐藏 攻击 时 所 产生 的 信息 。 

(6) 攻击 实施 。 实 施 攻击 或 者 以 目标 系统 为 跳板 向 其 他 系统 发 起 新 的 攻击 。 攻 击 其 他 
被 信任 的 主机 和 网 络 ; 修改 或 删除 重要 数据 ; 窃听 敏感 数据 ; 停止 网 络 服 务 ; 下 载 敏感 数 
据 ; 删除 用 户 账号 ; 修改 数据 记录 。 

(7) 开辟 后 门 。 在 目标 系统 中 开辟 后 门 .方便 以 后 入 侵 。 放 宽 文件 许可 权 ; 重新 开放 
不 安全 的 服务 ,如 REXD、TFTP 等 ; 修改 系统 的 配置 ,如 系统 启动 文件 .网 络 服务 配置 文件 
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等 ; 替换 系统 的 共享 库 文件 ; 修改 系统 的 源 代 码 ,安装 各 种 特洛伊 木马 ; 安装 嗅 探 器 ; 建立 
隐蔽 通道 。 

(8) 攻击 痕迹 清除 。 清 除 攻 击 痕迹 ,逃避 攻击 取证 。 自 改 日 志文 件 中 的 审计 信息 ; 改 
变 系统 时 间 造 成 日 志文 件数 据 亲 乱 ; 删除 或 停止 审计 服务 进程 ; 干扰 入 侵 检 测 系 统 的 正常 
运行 ; 修改 完整 性 检测 标签 。 

从 上 面 的 分 析 可 以 看 出 ,网 络 攻击 一 般 流程 如 图 4-1 


所 示 确定 目标 
攻击 过 程 的 关键 阶段 是 弱点 挖掘 和 权限 获取 ,攻击 

成 功 的 关键 条 件 之 一 是 目标 系统 存在 的 安全 漏洞 或 弱 

点 ,网 络 攻击 难点 是 目标 使 用 权 的 获得 。 能 和 否 成 功 攻击 油 油 按 汤 

一 个 系统 取决 于 多 方面 的 因素 。 

4.1.3 黑客 技术 1 1 

攻击 网 络 攻击 主机 

黑客 技术 ,简单 地 说 ,是 对 计算 机 系统 和 网 络 的 缺陷 

和 漏洞 的 发 现 ,以 及 针对 这 些 缺 陷 实施 攻击 的 技术 。 这 1 

里 说 的 缺陷 ,包括 软件 缺陷 ,硬件 缺陷 、 网 络 协议 缺陷 、 管 留 下 后 [ 

理 缺 陷 和 人 为 的 失误 。 一 
从 理论 上 讲 , 开 放 系统 都 是 会 有 漏洞 的 。 黑 客 攻 击 六 除 日 

是 黑客 自己 开发 或 利用 自己 已 有 的 工具 寻找 计算 机 系 


统 和 网 络 的 缺陷 及 漏洞 ,并 对 这 些 缺 陷 实 施 攻击 。 黑 客 
们 最 常用 的 手段 是 获得 超级 用 户口 令 , 他 们 总 是 先 分 析 ”图 4-1 网 络 攻击 的 一 般 流程 
目标 系统 正在 运行 哪些 应 用 程序 ,目前 可 以 获得 哪些 权 
限 , 有 哪些 漏洞 可 加 以 利用 ,并 最 终 利 用 这 些 漏洞 获取 超级 用 户 权限 ,再 达到 他 们 的 
目的 。 

黑客 技术 是 一 把 双 刃 剑 , 我 们 应 该 辩证 地 看 待 它 。 和 一 切 科 学 技术 一 样 ,黑客 技术 的 好 
坏 取决 于 使 用 它 的 人 。 有 些 人 不 断 地 研究 计算 机 系统 和 网 络 知识 ,发 现 系 统 和 网 络 中 存在 
的 漏洞 ,他 们 的 目的 不 是 去 破坏 计算 机 系统 ,而 是 提出 解决 和 修补 漏洞 的 方法 ,进一步 完善 
系统 。 然 而 ,有 些 人 研究 计算 机 系统 和 网 络 中 存在 的 漏洞 则 是 以 破坏 为 目的 ,他 们 修改 网 
页 ,非法 进入 主机 破坏 程序 , 串 入 银行 网 络 转移 金钱 等 。 

黑客 在 网 上 的 攻击 活动 每 年 以 10 售 的 速度 增长 ,美国 每 年 因 黑客 泛滥 而 造成 的 经 济 损 
失 近 百 亿美 元 。 然 而 ,黑客 技术 的 存在 促进 了 网 络 的 自我 完善 ,可 以 使 厂商 和 用 户 们 更 清醒 
地 认识 到 网 络 中 还 有 许多 地 方 需要 改善 ,促使 计算 机 和 网 络 产 品 供应 商 不 断 地 改善 他 们 的 
产品 ,对 整个 互联 网 的 发 展 一 直 起 着 推动 作用 。 因 此 ,对 黑客 技术 的 研究 有 利于 网 络 安 
全 。 网 络 战 已 经 成 为 现代 战争 的 一 种 趋势 ,很 早 就 有 人 提出 了 “信息 战 ”的 概念 并 将 信息 
武器 列 为 继 原子 武器 、 生 物 武 器 、 化 学 武器 之 后 的 第 四 大 武器 。 在 未 来 的 战争 中 ,黑客 技 
术 将 成 为 主要 手段 。 对 黑客 技术 的 研究 有 利于 国家 安全 ,对 于 国家 安全 具有 更 重要 的 战 
略 意义 。 
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4.2 黑客 如 何 实施 攻击 


进行 网 络 攻 击 不 是 一 件 简单 的 事情 , 它 是 一 项 步骤 性 很 强 的 工作 。 一 般 的 网 络 攻击 都 
分 为 3 个 阶段 : 攻击 的 准备 阶段 、 攻 击 的 实施 阶段 和 攻击 的 善后 阶段 。 


4.2.1 攻击 的 准备 阶段 


在 攻击 的 准备 阶段 要 做 好 以 下 三 件 事 : 确定 攻击 目标 , 即 选择 待 攻击 的 目标 主机 ; 收 
集 被 攻击 对 象 的 有 关 信 息 , 如 目标 机 的 IP 地 址 、 操 作 系 统 类 型 和 版 本 等 ; 利用 适当 的 工具 
进行 扫描 , 即 收集 或 编写 适当 的 工具 对 目标 进行 扫描 ,发 现 安全 漏洞 。 

1. 网 络 信息 收集 

网 络 信息 收集 是 指 黑客 为 了 更 加 有 效 地 实施 攻击 而 在 攻击 前 或 攻击 过 程 中 对 目标 主机 
的 所 有 探测 活动 。 信 息 收 集 也 被 称 为 踩点 (Foot Printing) ,踩点 原意 为 策划 一 项 盗窃 活动 
的 准备 阶段 。 举 例 来 说 , 当 盗 贼 决定 抢 动 一 家 银行 时 ,他 们 不 会 大 摇 大 摆 地 走 进去 直接 要 
钱 , 而 是 狠 下 一 番 工 夫 来 搜集 这 家 银行 的 相关 信息 ,包括 武装 押运 车 的 路 线 及 时 间 、 摄 像 头 
的 位 置 . 逃跑 出 口 等 信息 。 在 黑客 攻击 领域 ,踩点 是 传统 概念 的 电子 化 形式 。 

通常 踩点 主要 目的 是 获取 目标 的 如 下 信息 : 目标 主机 的 域名 、IP 地 址 、 操 作 系 统 类 型 、 
开放 了 哪些 端口 .端口 运行 着 什么 样 的 应 用 程序 .应 用 程序 有 没有 漏洞 ,域名 服务 器 .邮件 交 
换 主机 和 网 关 等 关键 系统 的 位 置 及 软 硬 件 信息 ; 内 联网 和 Internet 内 容 类 似 ,主要 关注 内 
部 网 络 的 独立 地 址 空间 及 名 称 空间 ,远程 访问 模拟 /数字 电话 号 码 和 VPN 访问 点 ,外 联网 
与 合作 伙伴 及 子 公 司 的 网 络 的 连接 地 址 、 连 接 类 型 及 访问 控制 机 制 ,开放 资源 未 在 上 述 列 出 
的 信息 ,例如 Usenet、 雇 员 配 置 文件 等 。 

为 达到 以 上 目的 ,黑客 常 采用 以 下 技术 。 

(1) 开放 信息 源 搜索 。 通 过 一 些 标 准 搜 索引 擎 ,揭示 一 些 有 价值 的 信息 。 例 如 ,通过 
使 用 Usenet 工具 检索 新 闻 组 (Newsgroup) 工作 帖子 ,往往 能 揭示 许多 有 用 的 东西 。 通 过 
使 用 Google 检索 Web 的 根 路 径 c:\\inetpub, 揭 示 出 目标 系统 为 Windows 2003。 对 于 一 
些 配置 过 于 粗心 大 意 的 服务 器 ,利用 搜索 引擎 甚至 可 以 获得 passwd 等 重要 的 安全 信息 
Es 

踩点 通常 利用 信息 收集 命令 获得 目标 数据 ,包括 ping \arp tracert route 和 netstat。 

ping 命令 用 来 检查 网 络 是 否 通畅 或 者 网 络 连接 速度 ,结果 值 越 大 ,说 明 速 度 越 慢 。ping 
命令 给 目标 IP 地 址 发 送 一 个 数据 包 ,对 方 就 要 返回 一 个 同样 大 小 的 数据 包 , 根 据 返 回 的 数 
据 包 我 们 可 以 确定 目标 主机 的 存在 ,可 以 初步 判断 目标 主机 的 操作 系统 等 。 输 入 命令 
ping/? 可 查询 ping 命令 参数 。ping 命令 可 以 直接 ping IP 地 址 ,也 可 以 ping 主机 域名 ,如 
图 4-2 所 示 。 

ARP(CAddress Resolution Protocol, 地 址 解析 协议 ) 的 基本 功能 是 通过 目标 设备 的 IP 
地 址 ,查询 目标 设备 的 网 卡 MAC 地 址 ,同时 将 IP 地址 和 MAC 地 址 存 人 本 机 ARP 缓存 中 ， 
下 次 请 求 时 直接 查询 ARP 缓存 。ARP 命令 人 工 查询 静态 的 网 卡 物理 /IP 地 址 对 ,可 对 缺 
省 网 关 和 本 地 服务 器 等 常用 主机 进行 设置 ,有 助 于 减少 网 络 上 的 信息 量 。 图 4-3 显示 IP 地 


:Vping wuw-sohu.con -1 128 -t —n 3 


inging pgderbjt@1.a.sohu.con [118.228.148.141] with 128 bytes of data: 


eply from 118.228.148.141: bytes=128 time=46ms ITL=58 


Reply from 118.228.148.141: bytes 
Reply from 118.228.148.141: bytes=128 tine=46ms 


Ping statistics for 118.228.148.14 
Packets: Sent = 3. Received = 3. Lost = @ (@x loss)- 
pproxinate round trip tines in nilli-seconds 
Minimum = 45ms, Maxinun = 46ms, fverage = 45ms 


EA 


图 4-2 ping 搜狐 网 站 


:Varp -a 
I 
Internet Addre: Physical Address Type 
192.168.8.1 90-1d-0f -98-a6-ea dynamic 


SS 


4-3 arP 查询 命令 结果 


址 和 MAC 地 址 。 

tracert 命令 作为 一 ， 路 由 跟踪 、 诊 断 实 用 程序 .通过 发 送 Internet 控制 消息 协议 
(ICMP) 回 显 请 求 和 回 显 答复 消息 ,产生 关于 经 过 每 个 路 由 器 的 命令 行 报告 输出 ,从 而 跟踪 
路 径 。 通 常用 于 测 试 网 络 的 连 通 性 ,确定 故障 位 通过 对 tracert 路 由 跟踪 数据 包 的 精确 
解 村- 这 救 了 解 tracert 命令 的 运行 过 程 。 图 4-4 显示 本 机 到 www. yahoo. com 的 所 有 路 由 


器 列表 。 


C: Ytracert www.yahoo.con 


racing route to any-fp-val-b-yahoo-com [72.39.2.43] 
over a maximum of 38 hops: 


<1 1 
1 


219.228.164.126 
172.16.12.1 

<1 172.16.21.1 

3 ms 222.72.145 -129 

28 m 2 222.72.144.117 

<1 124.74.21.169 

124-74.219.41 

61.152.86.182 

282.97.33.34 

282.97.33.198 

282.97.51.10 

282.97.50.38 

192.285.35.81 

cri.la2ca.ip.att.net [12.1 28.192] 
crl.sffca.ip.att.net [12.122.3.121] 
cr83-sffca-ip-att-net [12.123.15.118] 
12.122.137.97 

12.86.154.18 
ael-p499.msrl.skl-yahoo-com [216.115.186.153] 
te-9-1.bas-k2.ski.yahoo.con [68.188.168.15] 
irl.fp-uip-skl-yahoo-com [72.38.2.43] 


aaa 


38338338 


FE 


四 ww 
aa33 


引 333 


ns 


23 
8 


3a 


EE] 
333333383 


B8833 


EE 


race conplete. 


图 4-4 本 机 到 雅虎 的 路 由 器 列表 


route 命令 用 来 显示 、 人 工 添加 和 修改 路 由 表 项 目 。route print 命令 用 于 显示 路 由 表 中 
的 当前 项 目 , 即 在 单 路 由 器 网 段 上 的 输出 ; 由 于 用 IP 地 址 配置 了 网 卡 ,因此 所 有 的 这 些 项 
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目 都 是 自动 添加 的 。 图 4-5 显示 route print 命令 的 使 用 。 


:Vroute print 


Interface L 


MS ICP Loophack interface 
- Broadcom NetLink CIM> Gigabit Ethernet 


Active Routes 
letwork Destination Netmask Gateway 
昌 -B-B-B 9-B-9-B 192.168.8.1 
127.8.8.8 255.8.8.8 127.8.8.1 0- 
192.168.9.8 255.255.255.8 192.168.8.17 192.168.9-17 
192.168.8.17 255.255.255.255 127.8.8.1 127.9.0.1 
192.168.0.255 255.255.255.255 192.168.8.17 192.168.8.17 
224.8.8.9 248.9.9.8 192.168.8.17 192.168.8.17 
255.255.255.255 255.255.255.255 192.168.8.17 192.168.0-17 
192.168.0.1 


ersistent Routes: 
None 


> 
4-5 ”route print 命令 


netstat 命令 用 于 显示 与 IP.TCP、UDP 和 ICMP 相关 的 统计 数据 ,一 般 用 于 检验 本 机 

各 端口 的 网 络 连接 情况 。netstat 可 以 用 来 获得 你 的 系统 网 络 连接 的 信息 、 收 到 和 发 出 的 数 
据 、 被 连接 的 远程 系统 的 端口 。netstat 在 内 存 中 读 取 所 有 的 网 络 信息 。netstat-a 命令 的 运 
行 结果 如 图 4-6 上 


Local Address Foreign Address State 
ba3b8cca9ac24e4:epnap b83b8cca9ac24e4:0 LISTENING 
hbB3b8cca9ac24e4:microsoft-ds bg3b8ccagac24e4:0 LISTENING 
bg3b8cca9ac24e. 869 bB3b8cca9ac24e4:9 LISTENING 
be3b8cca9ac24e4:nethbios-ssn hbB3b8cca9ac24e4:9 LISTENING 
b@3b8cca9gac24e: 111 .286 .79.143:http ESTABLISHED 
ba3b8cca9gac24e 58 -295 .221.250:http CLOSE_WhAIT 
hb63b8cca9ac24e. 58 -295 -221-259:http TIME_WAIT 
ba3b8cca9ac24e BE ttDp ESTABLISHED 
ba3b8cca9gac24e: 。 http ESTABLISHED 
ba3h8cca9ac24e 5 3 .2 http ESTRBLISHED 
hbB3b8cca9ac24e. 。 http ESTABLISHED 
ba3b8cca9ac24e4:2957 -26.148.82:http ESTRBLISHED 
bg3b8cca9ac24e 22.49.4-183:http ESTABLISHED 
bg3b8cca9ac24e -298 -49 .173:http ESTABLISHED 
be3b8cca9ac24e4:2964 123.125.114.38:http ESTABLISHED 
ba3b8cca9gac24e 123.125.114.64:http TIME_WAIT 
hag3b8cca9gac24e: 61.135.162.115:http .13 
bg3hb8cca9ac24e: 282.188 -23 -197:http ESTABLISHED 
he3h8cca9ac24e: 123.125 -114-89:http TIME_WAIT 
ba3hbh8cca9ac24e4:2978 123.125.114.88:http TIME_WAIT 


图 4-6 ”netstat-a 命令 运行 结果 


(2) whois 查询 。whois 是 目标 Internet 域名 注册 数据 库 。 目 前 ,可 用 的 whois 数据 库 

多 ,例如 ,查询 com、net、edu 和 org 

com 得 到 ,查询 美国 以 外 的 域名 通 
库 服 务 器 的 地 址 后 完成 进一步 查询 。 

通过 i whois 数据 库 的 查询 ,黑客 能 够 得 到 以 下 用 于 发 动 攻击 的 重要 信息 : 

言 息 和 相关 的 whois 服务 器 ; 机 构 本 身 ,得 到 与 特定 目标 相关 的 全 部 信息 ; 


等 结尾 的 域名 通过 http://www. networksolutions. 
com 得 到 相应 whois 数据 


查询 http://www. allwhoi 
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三 


域名 ,得 到 与 某 个 域名 相关 的 全 部 信息 ; 网 络 , 得 到 与 某 个 网 络 或 了 P 相关 的 全 部 信息 ; 联系 
点 (POC) ,得 到 与 某 个 人 (一 般 是 管理 联系 人 ) 相 关 的 信息 。 

(3) DNS 区 域 传送 。DNS 区 域 传送 是 一 种 DNS 服务 器 的 完 余 机 制 。 通 过 该 机 制 , 辅 
DNS 服务 器 能 够 从 主 DNS 服务 器 更 新 自己 的 数据 ,以 便 主 DNS 服务 器 不 可 用 时 , 辅 DNS 
服务 器 能 够 接替 主 DNS 服务 器 工作 。 正 常情 况 下 ,DNS 区 域 传送 只 对 辅 DNS 服务 器 开 
放 。 然 而 , 当 系 统管 理 员 配置 错误 时 ,将 导致 任何 主机 均 可 请 求 主 DNS 服务 器 提供 一 个 区 
域 数据 的 备份 ,以 致 目标 域 中 所 有 主机 信息 泄露 。 能 够 实现 DNS 区 域 传 送 的 常用 工具 有 
dig、nslookup 及 Windows 版 本 的 Sam Spade。 

踩点 通常 利用 Windows 平台 的 网 络 探测 工具 获得 目标 数据 ,包括 搜索 引擎 、 
SamSpade、Whois 数据 库 。 

搜索 引擎 是 一 个 非常 有 用 的 信息 收集 工具 ,如 Baidu、Google 具有 很 强 的 搜索 能 力 ,能 
够 帮助 攻击 者 获得 目标 系统 相关 信息 ,包括 网 站 的 弱点 和 不 完善 配置 ,如 多 数 网 站 只 要 设置 
了 目录 列举 功能 ,Google 就 能 搜索 出 Index of 页 面 。 打 开 Index of 页 面 能 够 浏览 出 一 些 隐 
藏 在 互联 网 背后 的 开放 了 目录 浏览 的 网 站 服务 器 目录 ,可 下 载 本 无 法 看 到 的 密码 账户 等 有 
用 文件 ,如 图 4-7 所 示 。 


TO [rs oooge. com hsear smi ovenewm [ef Es] [x] [P rs [2 
文件 (F) 编辑 (E) ”查看 () ” 收 大 夹 (A) 工具 (T) 帮助 (H) 
次 收藏 天 | 海 加 ] 获取 更 多 加 载 项 ” 乱 建 议 网 站 ~ 


niterindex or admn - Google 搜索 [| 但 - 局 屿 ”页 面 P)， 安 人 (5) 工具 0)- 加 ” 
网 页 图 片 视频 地 图 资讯 音乐 问答 。 来 吧 。 更 多 轿 络 历史 记录 | 搜索 设置 | 登录 | 二 
Google intitle-"index of" adminl Google 搜索 | 亩 级 


司 所 有 网 页 加 中 文 网 页 加 简体 中 文 网 页 
网 页 图 打开 百宝箱 。 ”搜索 intitle:"index of” admin 获得 约 1,400,000 冬 结果 (启用 了 安全 搜索 功能 ) ， 以 下 是 第 1- 


小 提示 ， 只 搜 索 中 文 (简体 苦果 ， 可 在 设置 指定 搜索 语言 


Index of /admin - [ 沥 译 此 页 ] 

Index of /admin. Name Last modified Size Description. [DIR] Parent Directory 20-Jun-2009 23-36 
- [DIR] lggy/ 14-Sep-1997 20:04 - [DIR] ... 

web.mit.edu/admin/ - 网 页 快照 - 类 似 结果 


图 4-7 打开 搜索 到 的 “Index of”"admin 页 面 


SamSpade 是 一 款 运 行 在 Windows 平台 的 集成 工具 箱 软 件 ,用 于 大 量 的 网 络 探测 、 网 络 
管理 和 与 安全 有 关 的 任务 ,包括 ping、nslookup、whois、 dig、traceroute, finger、raw HTTP 
web browser、DNS zone transfer、 SMTP relay check、website search 等 工具 。 运 行 
SamSpade 的 电脑 利用 SamSpade 的 trace 功能 探测 到 达 目 标 服务 器 的 路 径 信息 ,如 图 4-8 
所 示 。 

Internet 上 的 各 种 Whois 数据 库 也 是 非常 有 用 的 信息 资源 。 这 些 资源 包含 各 种 关于 
Internet 地 址 分 配 、 域 名 和 个 人 联系 方式 等 数据 。 攻 击 者 可 以 从 Whois 数据 库 了 解 目标 的 
一 些 注册 信息 。 图 4-9 列 出 了 Whois 常用 的 网 站 信息 查询 工具 、 域 名 IP 类 查询 工具 、 使 用 
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入 Spade — [Fast traceronte wwe-hacz- edu- cn, finished] 


Eile Bdit Yi Sindo Basic Toslz ly 


[www .nacz.edu.cn 


中 | 加 10 习 | 硬 whoisgeekoolscom 


司 时 


04/09/11 09 


216ms 
77ms 
76ms 
BOns 
75ms 
77ns 
Blms 
77ms 
9lms 


全 
旬 
a 
鸣 
只 
多 
外 
遇 
响 
本 
四 
于 
多 
四 


i 


217ms 
75ms 
76ms 
6lms 
74ms 
76ms 
76ms 
82ms 


91lms 


=z .edu. cn 


(pending) 
{pending) 
(pending) 
(pending) 
{pending) 
{pending) 
(pending) 


(pending) 
(pending) 
(pending) 
(panding) 
(pending) 
(pending) 
(pending) 
(pending) 
(pending) 
(pending) 


"Bi 


Response 


图 4-8 ”SamSpade 探测 路 径 信息 


代码 转换 工具 等 。 图 4-10 显示 了 从 上海 电信 [站 长 之 家 ”连接 到 Yahoo 服务 器 所 经 历 的 
路 由 器 。 图 4-11 显示 了 通过 查询 IP 地 址 得 到 的 服务 器 的 各 种 信息 。 图 4-12 分 别 介绍 了 
Whois 一 些 常用 小 工具 的 使 用 ,包括 DNS 查询 .MD5 加 密 、IP 地 址 与 对 应 整数 之 间 的 转换 
及 IPv4 向 IPv6 地 址 的 转换 。 


域名 Whois 查 询 
SO- Br 
实 收 斑 夫 : 穷 
| 国 闫 名 Whoi 查询 - 站 长 工具 


站 长 工具 


chinaz. com 


Windows Internet Explorer 


同 |2||x] 加 Ee 


偷 " 辐 - 口 咏 ” 人 ”安全 (D> 工 上 OO ” 


ChinaZ.com | 中国 n6k 站 


TOL SR 


站 长 之 家 | 主机 网 | 站 长 论坛 “ 亚 码 下 载 站 长 联盟 | 素 村 下 载 | 域名 主机 | 域名 交易 ”虚拟 主机 评测 


reGp la)650 RAE 
biz 存 1805 硬 爸 


域名 Whok 查 词 工具 


请 输入 要 查询 的 城 名 ， | www.sohu.com 


4-9 ”Whois. chinaz. com 查询 工具 


2. 进行 网 络 扫 描 

踩点 (Foot Printing) 已 经 获得 一 定 信息 (如 IP 地 址 范围 .DNS 服务 器 地 址 和 邮件 服务 
器 地 址 等 ), 下 一 步 需要 确定 目标 网 络 范围 内 哪些 系统 是 活动 的 ,以 及 它们 提供 哪些 服务 ; 
与 盗窃 案 的 踩点 相 比 ,扫描 就 像 是 辨别 建筑 物 的 位 置 并 观察 它们 有 哪些 门窗 。 


罕 
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E 路 由 器 追踪 , TraceRT, TraceRemote - 站 长 工具 - Windows Internet Explorer 

TO 回国 |IECEE 
和 I 全 用- 网 - 有 属 - 忆 -| 久 -. 几 - 

x Gocgk [: TaE 国 汪 #* -1 光 轴 二 晤 -时 -二 遇 - 最 -| 骸 . -县 


究 收 若 夫 | 次 


加 路 由 器 中 , TraceRT, TraceRenote - 站 ..。 | | 全- 名 坊 ” 页 (EE)” 支 人 (9) IAQ) 7 DO” 


Ps | 
英 拓 网 络 6 室 间 20 元 /1001 


广告 招租 , QQ: 235678 
免费 下 载 桌 面 素 村 


LOGO 在 线 制作 。 ”网 站 保姆 


从 [上 海 电信 [站 长 之 家 ] 国 到 | www.yahoo.com 


所 在 地 

61.151.239.1 
222.73.175.169 上 海 市 电信 和 ADSL 
61.152.87.105 上 海 市 电信 
61.152.86.42 上 海 市 电信 
202.97.35.110 北京 市 电信 
202.97.34.50 上 海 市 路 由 器 
202.97.51.54 中 国电 信 骨干 网 


202.97.50.38 中 国电 信 骨干 网 

192.205.35.81 美国 CZ88.NET 

12.122.128.98 美国 ATT 用 户 

12.122.3.121 村 国 ATT 用 户 

12.123.15.110 美国 ATT 用 户 

12.122.137.97 美国 ATT 用 户 

12.86.154.18 美国 ATT 用 户 
216.115.107.73 美国 /加 拿 大 CZBB.NET 

209.131.32.23 美国 /加 拿 大 CZ88.NET 
209.131.36.158 要 国 /加 拿 大 CZ88.NET 203ms 


已 经 达到 目的 地 ，TraceRemote 终 止 9 加 | 
| 
@ Internet 和 下 100% ~ 


图 4-10 “Whois 路 由 器 追踪 


扫描 (Scanning) 就 是 通过 向 目标 主机 发 送 数 据 报 文 .然后 根据 响应 获得 目标 主机 的 情 
况 。 扫 描 的 主要 目的 是 使 攻击 者 对 攻击 的 目标 系统 所 提供 的 各 种 服务 进行 评估 ,以 便 集中 
精力 在 最 有 希望 的 途径 上 发 动 攻击 。 根 据 方式 的 不 同 .扫描 主要 分 为 以 下 三 种 : 地 址 扫描 、 
端口 扫描 和 漏洞 扫描 ,端口 扫描 是 网 络 扫 描 的 核心 技术 。 

地 址 扫描 简单 的 做 法 就 是 通过 Ping 这 样 的 程序 判断 某 个 IP 地 址 是 否 有 活动 的 主机 ， 
或 者 某 个 主机 是 否 在 线 。Ping 程序 向 目标 系统 发 送 ICMP 回 显 请 求 报 文 ,并 等 待 返回 的 
ICMP 回 显 应 答 。Ping 程序 一 次 只 能 对 一 台 主 机 进行 测试 。fping 能 以 并 发 的 形式 向 大 量 
的 地 址 发 出 ping 请 求 。 对 地 址 扫描 的 预防 : 在 防火 墙 规则 中 加 入 丢弃 ICMP 回 显 请 求 信 
息 , 或 者 在 主机 中 通过 一 定 的 设置 禁止 对 这 样 的 请 求 信 息 进行 应 答 。 
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为 区 别 通信 的 程序 ,在 所 有 的 IP 数据 报 文中 不 仅 有 源 地 址 和 目的 地 址 ,也 有 源 端口 号 
与 目的 端口 号 。 


机 上 执行 


/IP/ 了 服务 器 物理 定位 查询 -站 长 工具 - Windows Internet Explorer 

GO Wr nacre 站 加 网 jp Re 
文件 (F) 编辑 E) ”查看 (VW) 收 大 天 (A) 工具 (T) 帮助 0) 

实 收 京 天 。 雇 已] 获取 更 多 加 载 项 其 建议 网 站 ~ 

加 ij 服 务 器 物理 定位 查询 - 站 长 工具 


| 价 - 园 -已 吕 -IEm Sa”IRo  @@- 


600 | 英 拓 网 络 B/5 服 务 ~ 
7 黄金 链 低 价 出 售 放 站 
二 元 

区 2.99 元 ,立即 提升 


代码 转换 工具 LOGO 在 线 制作 网 站 保姆 党 


您 的 全 :[222.72.145.158 ] 来 自 :上 海 市 奉贤 区 电信 ADSL 
Mozila/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; InfoPath.2) 
请 输入 要 查询 的 ] 或 域名 : | 219.228.164.1 查询 
主 数 所 : 
数据 一 : 
数据 二 : 


219.228.164.1 -=->> 219.228.164.1 -=->> 3699194497 -=->> 上 海 市 上 海 电 子 信息 职业 技术 学院 
219.228.164.1 ==>> 219.228.164.1 ==>> 3689194497 ==>> 上 海 市 上 海 电子 信息 职业 技术 学 院 


219.228.164.1 ==>> 219.228.164.1 ==>> 3689194497 ==>> 上 海 市 上 海 电子 信息 职业 技术 学 院 


上 面 四 项 依次 显示 的 是 : 原始 输入 内 容 ==>> 获 职 的 p 地 址 ==>> 由 了 转换 出 来 的 数字 = 


> 卫 的 物理 位 置 
E 


好 


四 Intemet 有 用 100% 


图 4-11 Whois 定位 查询 


| Windows 


GO-: [http:// rm. dirs. eR | 色 ] ogle 
ix Googlke[ 国生 珊 - 二; 再 二 下 鼎 - -i 


i 突 收 基 夫 
禾 schu. con 域名 服务 器 DNS 查询 国彬 :出 


Internet Explorer 


品 屿 ”页面 (p) ” 安全 (9) ~ 工具 QQ) > 加 
www.Dirs.cn sohu.com 域名 服务 器 DNS 查询 


免费 试用 国内 最 好 的 企业 邮箱 (网 易 , 沿 易 ,全 速 ,21cn 等 ) 


欢迎 使 用 dirs.cn 有 务 您 的 1p: 2 


CC 
域名 服务 器 查询 (NS) 
输入 域名 (如 domain.com ): |sohu.com| 

用 于 查询 的 DNS 
深圳 DNS,IP 58.60.188.178 


广州 DNS，IP 211.95.193.97 
涯 港 DNS，IP 202.66.8.7 


DNS 查询 结果 
ns4.sohu.com.; ns1.sohu.com.; ns2.sohu.com.; dns.sohu.com.; 
ns2.sohu.com.; ns1.sohu.com.; ns4.sohu.com.; dns.sohu.com.; 
ns2.sohu.com.; ns4.sohu.com.; dns.sohu.com.; nsi.sohu.com.; 


图 4-12 Whois DNS 查询 


常用 的 服务 是 使 用 标准 的 端口 号 ,只 要 扫描 到 相应 的 端口 就 能 知道 目标 主 
着 什么 服务 ,然后 人 侵 者 才能 针对 这 些 服务 进行 相应 的 攻击 。 
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漏洞 扫描 指使 用 漏洞 扫描 程序 对 目标 系统 进行 信息 查询 。 通 过 漏洞 扫描 ,可 以 发 现 系 
统 中 存在 的 不 安全 的 地 方 。 漏 洞 扫 描 器 是 一 种 自动 检测 远程 或 本 地 主机 安全 性 弱点 的 程 
序 。 漏 洞 扫描 器 的 外 部 扫描 : 在 实际 的 Internet 环境 下 通过 网 络 对 系统 管理 员 所 维护 的 服 
务 器 进行 外 部 特征 扫描 。 漏 洞 扫描 器 的 内 部 扫描 。 以 系统 管理 员 的 身份 对 所 维护 的 服务 器 
进行 内 部 特征 扫描 。 

(DD 端口。 

端口 是 由 TCP/IP 定义 的 ,是 指 逻辑 意义 上 的 端口 ,不 同 于 计算 机 硬件 领域 的 硬 插 槽 ， 
一 个 端口 就 是 一 个 潜在 的 通信 通道 ,也 就 是 一 个 人 侵 通 道 。 端 口 和 进程 是 一 一 对 应 的 。 端 
口 相当 于 两 台 计 算 机 进程 间 的 大 门 ,其 目的 是 让 两 台 计 算 机 能 找到 对 方 的 进程 ,必须 给 端口 
进行 编号 。 逻 辑 意义 上 的 端口 范围 是 0 一 65 535 ,可 以 分 为 标准 端口 和 非 标准 端口 。 标 准 端 
口 范围 是 0 一 1023 ,分 配给 一 些 固定 服务 ; 非 标 准 端口 范围 是 1024 一 65 535 ,这 些 端口 不 分 
配 某 个 固定 服务 ,许多 服务 都 可 以 使 用 这 些 端口 。 病 毒 木马 程序 常常 利用 这 些 端口 从 事 服 
务 活动 。 

端口 扫描 向 目标 主机 的 TCP/IP 服务 端口 发 送 探测 数据 包 , 并 记录 目标 主机 的 响应 。 
通过 分 析 响 应 来 判断 服务 端口 是 打开 还 是 关闭 ,就 可 以 得 知 端口 提供 的 服务 或 信息 。 只 要 
扫描 到 相应 的 端口 开 着 ,就 能 知道 目标 主机 上 运行 着 什么 服务 ,然后 入 侵 者 才能 针对 这 些 服 
务 进行 相应 的 攻击 。 

扫描 器 (Scanner) 的 主要 功能 如 下 : 

QO 检测 主机 是 否 在 线 。 

@ 扫描 目标 系统 开放 的 端口 .有 的 还 可 以 测试 端口 的 服务 信息 。 

@ 获取 目标 操作 系统 的 敏感 信息 。 

@ 破解 系统 口令 。 

@ 扫描 其 他 系统 敏感 信息 。 例 如 ,CGI 扫描 器 .ASP 扫描 器 、 从 各 个 主要 端口 取得 服务 
信息 的 扫描 器 ,数据库 扫描 器 以 及 木马 扫描 器 等 。 

(2) 端口 扫描 分 类 。 

最 近 几 年 ,端口 扫描 提供 基本 的 TCP 和 UDP 扫描 能 力 , 集 成 多 种 扫描 技术 。 端 口 扫描 
按 端口 连接 的 情况 可 分 为 TCP Connect 扫描 (全 连接 扫描 )、TCP SYN 扫描 ( 半 打 开 扫 描 )、 
秘密 扫描 和 间接 扫描 等 。TCP Connect 扫描 是 最 基础 的 一 种 端口 扫描 方式 。TCP SYN 扫 
描 在 扫描 过 程 中 没有 建立 完整 的 TCP 连接 , 故 又 称 为 半 打 开 扫 描 。 秘 密 扫描 包含 TCP 
FIN 扫描 、TCP ACK 扫描 等 多 种 方式 。 

QTCP Connect 扫描 。 该 扫描 是 调用 套 接口 函数 connect() 连 接 目 标 端 口 ,完成 一 次 
完整 的 三 次 握手 过 程 。 客 户 发 送 一 个 SYN 分 组 给 服务 器 ; 服务 器 发 出 SYN/ACK 分 组 给 
客户 ; 客户 再 发 送 一 个 ACK 分 组 给 服务 器 。 

@ TCP SYN 扫描 。 该 技术 又 称 为 半 打 开 扫 描 (Half-Open Scanning), 没 有 建立 完全 
的 TCP 连接。 扫描 主机 向 目标 端口 发 送 一 个 SYN 分 组 ,如 能 收 到 来 自 目标 端口 的 SYN/ 
ACK 分 组 , 则 可 推断 该 端口 处 于 监听 状态 。 如 果 收 到 的 是 一 个 RST/ACK 分 组 , 则 说 明 该 
端口 未 被 监听 。 执 行 端口 扫描 的 系统 随后 发 出 RST/ACK 分 组 .这 样 并 未 建立 任何 “ 连 
接 ”。 显 然 ,该 方法 比较 隐秘 ,不 易 被 目标 系统 检测 到 。 但 是 ,如 打开 的 半 开 连接 数量 过 多 
时 ,会 在 目标 主机 上 形成 “拒绝 服务 ”而 引起 对 方 的 警觉 。 
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@ TCP FIN 扫描 。 当 申请 方 主机 向 目标 主机 一 个 端口 发 送 TCP 标志 位 FIN 置 位 数 
据 包 ,如 果 目 标 主 机 该 端口 是 “ 关 ? 状 态 , 则 返回 一 个 TCP RST 数据 包 ; 否则 不 回复 。 根 据 
这 一 原理 可 以 判断 对 方 端口 是 处 于 * 开 ?还 是 “ 关 ?” 状 态 。 

@ TCP ACK 扫描 。 该 技术 用 于 探测 防火 墙 的 规则 集 。 它 可 以 确定 防火 墙 是 否 只 是 简 
单 地 分 组 过 滤 、 只 允许 已 建 好 的 连接 (设置 ACK 位 ); 还 是 一 个 基于 状态 的 ,可 执行 高 级 的 
分 组 过 滤 防 火 墙 。 

@ TCP NULL 扫描 。 该 技术 是 关 掉 所 有 的 标志 。 根 据 RFC 793 文档 规定 ,如 目标 端 
口 是 关 闭 的 ,目标 主机 应 该 返回 RST 分 组 。 

TCP SYN/ACK 扫描 。 该 技术 故意 忽略 TCP 的 三 次 握手 。 原 来 正常 的 TCP 连接 
可 以 化 简 为 SYN-SYN/ACK-ACK 形式 的 三 次 握手 来 进行 。 这 里 ,扫描 主机 不 向 目标 主机 
发 送 SYN 数据 包 , 而 先 发 送 SYN/ACK 数据 包 。 目 标 主机 将 报错 ,并 判断 为 一 次 错误 的 连 
接 。 若 目标 端口 开放 ,目标 主机 将 返回 RST 信息 。 

@ UDP 扫描 。 该 技术 是 往 目 标 端口 发 送 一 个 UDP 分 组 。 如 果 目 标 端口 发 回 ICMP 
port unreachable 作为 响应 , 则 表示 该 端口 是 关闭 的 ; 否则 该 端口 是 打开 的 。 由 于 UDP 是 
无 连接 的 不 可 靠 的 协议 ,因此 上 述 结 果 仅 有 参考 价值 。 

(3) 端口 扫描 技术 。 

扫描 主要 技术 有 ping 扫射 .TCP/VUDP 端口 扫描 、 操 作 系统 检测 及 旗 标 获取 。 

O ping 扫射 是 判别 主机 是 否 “ 活 动 * 的 有 效 方式 。ping 用 于 向 目标 主机 发 送 ICMP 回 
射 请 求 (Echo Request) 分 组 ,并 期 待 由 此 引发 的 表明 目标 系统 “活动 ”的 回 射 应 答 (Echo 
Reply) 分 组 。 常 用 的 ping 扫射 工具 有 操作 系统 的 ping 命令 及 用 于 扫射 网 段 的 fping、WS_ 
ping 等 。 

@ 端口 扫描 就 是 连接 到 目标 主机 的 TCP 和 UDP 端口 上 ,确定 哪些 服务 正在 运行 及 服 
务 的 版 本 号 ,以 便 发 现 相应 服务 程序 的 漏洞 。 著 名 的 扫描 工具 有 superscan 及 NetScan 
Tool Pro。 

@ 由 于 许多 漏洞 是 和 操作 系统 紧密 相关 的 ,因此 ,确定 操作 系统 类 型 对 于 黑客 攻击 目 
标 来 说 也 十 分 重要 。 目 前 用 于 探测 操作 系统 的 技术 主要 可 以 分 为 两 类 : 利用 系统 旗 标 信 
息 ,利用 TCP/IP 堆栈 指纹 。 每 种 技术 进一步 细 分 为 主动 鉴别 和 被 动 鉴别 。 目 前 ,常用 的 检 
测 工 具有 Nmap、Queso 和 Siphon。 

@ 旗 标 获取 ,使 用 一 个 打开 端口 来 联系 和 识别 系统 提供 的 服务 及 版 本 号 。 最 常用 的 方 
法 是 连接 到 一 个 端口 , 按 Enter 键 几 次 ,看 返回 什么 类 型 信息 。 

例如 : 

[Netat_svr# ] Telnet 192.168.5.33 22 

SSH— 1.99 - OpenSSH_3.1pl 
表明 该 端口 提供 SSH 服务 ,版 本 号 为 3. 1p1。 

目前 ,一 般 的 网 络 服务 器 都 会 配置 安全 防护 设备 ,基本 的 有 防火 墙 \ 入 侵 检 测 ,一 些 重要 
的 安全 服务 器 会 配置 蜜 钢 系 统 、 防 DoS 攻击 系统 和 过 滤 邮 件 等 。 在 扫描 过 程 中 根据 扫描 结 
果 , 需 要 判断 目标 使 用 了 哪些 安全 防护 措施 。 

获取 的 内 容 包 括 : 
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可 
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Q@ 获取 目标 的 网 络 路 径 信息 。 目 标 网 段 信 息 : 确认 目标 所 在 的 网 段 、 掩 码 情 况 , 判 断 
安全 区 域 划 分 情况 ,为 可 能 的 跳板 攻击 做 准备 。 目 标 路 由 信息 : 确认 目标 所 在 的 具体 路 由 
情况 ,判断 在 路 由 路 径 上 的 各 个 设备 类 型 ,如 是 路 由 器 、 三 层 交 换 机 或 防火 墙 。 

@ 了 解 目标 架设 的 具体 路 由 情况 ,确认 目标 是 否 安装 了 安全 设施 。 一 般 对 攻击 影响 较 
大 的 包括 防火 墙 \ 入 侵 检测 和 蜜 镀 系统 。 

@ 了 解 目标 使 用 安全 设备 情况 。 这 对 攻击 的 隐蔽 性 影响 很 大 ,同时 也 决定 了 在 后 门 安 
全 防御 的 困难 程度 。 这 部 分 主要 包括 入 侵 检测 .日 志 审 计 及 防 病毒 安装 情况 。 

通过 扫描 ,人 侵 者 掌握 了 目标 系统 所 使 用 的 操作 系统 ,下 一 个 工作 是 查 点 
(Enumeration)。 查 点 就 是 搜索 特定 系统 上 用 户 和 用 户 组 名 、 路 由 表 、SNMP 信息 、 共 享 资 
源 、 服 务 程序 及 旗 标 等 信息 。 查 点 所 采用 的 技术 依 操作 系统 而 定 。 

Windows 系统 主要 采用 的 技术 有 查 点 NetBIOS 线路 、 空 会 话 (NULL Session) ,SNMP 
代理 和 活动 目录 (Active Directory) 等 。 网 络 踩点 收集 网 络 用 户 名 、IP 地 址 范围 DNS 服务 
器 以 及 邮件 服务 器 等 有 价值 信息 。 网 络 扫描 将 确定 哪些 系统 在 活动 ,并 能 从 因特网 上 访 
问 到 。 

O@ 确定 系统 是 否 在 活动 。 早 期 的 ping 用 于 向 某 个 目标 系统 发 送 ICMP 回 送 请 求 
(Echo Request) 分 组 (ICMP 类 型 为 8) ,并 期 待 目标 系统 返回 ICMP 回 送 应 答 (Echo Reply) 
分 组 (ICMP 类 型 为 0) 。 对 于 中 小 规模 的 网 络 ,利用 这 种 方法 来 确定 系统 是 否 在 活动 ,是 可 
行 的 。 但 对 于 大 规模 网 络 ,Ping 的 方法 就 显得 效率 低下 。 

在 Windows 系统 中 ,有 许多 可 以 用 来 进行 ICMP Ping 扫描 的 工具 ,其 中 fping 是 以 并 
行 的 轮 询 形式 发 出 的 大 量 的 ping 请 求 。fping 工具 有 两 种 用 法 : 一 种 是 通过 标准 输入 设备 
(stdin) 向 它 提供 一 系列 IP 地 址 ; 另 一 种 是 从 文件 中 读 取 。 每 行 放 一 个 IP 地 址 ,组 成 一 个 
文件 abc. txt, 格 式 如 下 : 


192.168.26.1 
192.168.26.2 


192.168.26.253 
192.168.26.254 


然后 ,使 用 ”-H” 参 数 读 入 文件 : 


C:> fping - Habc. txt 

Fast pinger version 2.22 

(c) Wouter Dhondt (http://www. kwakkelflap. com) 

Pinging multiple hosts with 32 bytes of data every 1000 ms: 
Reply[1] from 192.168.26.1: bytes= 32 time=0.5 ms TIL= 64 
Reply[2] from 192.168.26.2: bytes= 32 time=0.5 ms TIL= 64 


192. 168. 26.134 request timed out( 该 机 器 没有 启动 ) 


Reply[253] from 192.168.26.253: bytes = 32 time= 0.5 ms TTL = 64 
Reply[254] from 192.168.26.254: bytes = 32 time= 0.5 ms TTL = 64 
Ping statistics for multiple hosts: 
Packets:Sent = 254,Received = 127,Lost = 127 (50% loss)( 机 器 活动 数量 127 台 , 未 启动 
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数量 127 台 ) 

Approximate round trip times in milli— seconds: 

Minimum = 0.2 ms,Maximum = 0.5 ms,Average = 0.3 ms 

fping 有 许多 选项 ,不 再 一 一 列举 。 对 Windows 系统 而 言 ,美国 Foundstone 公司 开发 
的 SuperScan 软件 的 速度 是 最 快 的 。 与 fping 类 似 ,SuperScan 在 同时 发 出 多 个 ICMP 回 送 
请 求 分 组 后 等 待 并 监听 目标 主机 的 响应 , 它 也 允许 把 解析 出 的 主机 名 存放 在 HTML 文 
件 中 。 

@ 确定 哪些 服务 正 处 于 监听 状态 。 确 定 当 前 监听 的 端口 ,对 于 确定 所 用 的 操作 系统 和 
应 用 程序 的 类 型 至 关 重 要 。 因 此 ,对 目标 系统 的 TCP 和 UDP 端口 进行 连接 ,以 达到 了 解 该 
系统 正在 运行 哪些 服务 的 过 程 就 称 为 端口 扫描 。 下 面 介绍 流行 的 且 经 过 时 间 考 验 的 基于 
Windows 的 端口 扫描 工具 。 

a， SuperScan, 目前 速度 最 快 、 适 应 面 广 的 Windows 端口 扫描 工具 之 一 ,既是 一 款 黑 
客 工具 ,又 是 一 款 网 络 安全 工具 。 黑 客 利用 它 的 拒绝 服务 攻击 (Denial of Service, DoS) 收 
集 远 程 网 络 主机 信息 。 作 为 安全 工具 ,SuperScan 能 够 帮助 你 发 现 网 络 中 的 弱点 。 它 可 
以 用 来 进行 ping 扫描 、TCP 端口 扫描 、UDP 端口 扫描 ,还 可 以 组 合 多 种 技术 同时 进行 
扫描 。 

b. Advanced Port Scanner, 是 一 种 形式 简洁 ,扫描 迅速 以 及 易于 使 用 的 端口 扫描 器 ,可 
以 进行 多 线程 扫描 。 这 种 端口 扫描 器 为 一 般 端 口 列 出 详情 ,可 以 在 扫描 前 预先 设置 扫描 的 
端口 范围 或 者 是 基于 常用 端口 列表 ,扫描 结果 以 图 的 形式 显示 出 来 。 

c. 端口 扫描 检测 程序 ,在 Windows 平台 上 ,由 Independent Software 公司 编写 的 
Genius 2.0 软件 可 以 用 来 监测 简单 的 端口 扫描 活动 (可 以 从 www. indiesoft. com 下 载 ), 这 
个 工具 适用 于 Windows 2000/2003。Genius 会 在 一 段 给 定时 间 内 同时 监听 大 量 的 端口 打 
开 请 求 , 当 它 监测 到 一 次 扫描 时 ,就 会 弹出 一 个 窗口 向 你 报告 来 犯 者 的 IP 地 址 和 DNS 主 
机 名 。 

@ 确定 被 扫描 系统 的 操作 系统 类 型 。 要 确定 一 个 系统 的 操作 系统 类 型 有 两 个 方法 : 
一 个 是 主动 协议 栈 指纹 鉴别 , 另 一 个 是 被 动 协议 栈 指纹 鉴别 。 由 于 TCP/IP 协议 栈 只 是 在 
RFC 文档 中 描述 ,并 没有 一 个 统一 的 行业 标准 ,各 个 公司 在 编写 应 用 于 自己 操作 系统 的 
TCP/IP 协议 栈 时 ,对 RFC 文档 做 出 了 不 尽 相 同 的 诠释 ,于 是 造成 了 各 个 操作 系统 在 TCP/ 
IP 协议 栈 的 实现 上 不 同 。 

协议 栈 指纹 鉴别 (Stack Fingerprinting) 是 指 不 同 厂家 的 TCP/IP 协议 栈 实 现 之 间 存 在 
细微 差别 ,通过 探测 这 些 差异 ,能 够 对 目标 系统 所 用 的 操作 系统 进行 比较 准确 的 判别 。 

主动 协议 栈 指纹 鉴别 基本 内 容 如 下 : 

a. FIN 探测 分 组 。 发 送 一 个 只 有 FIN 标志 位 的 TCP 数据 包 给 一 个 打开 的 端口 ， 
Windows 发 回 一 个 FIN/ACK 分 组 。 

b. ACK 序号 。 发 送 一 个 FIN/PSH/URG 数据 包 到 一 个 关闭 的 TCP 端口 , Windows 
发 回 序号 为 初始 序号 加 1 的 ACK 包 。 

c. 虚假 标记 的 SYN 包 。 在 SYN 包 的 TCP 首部 设置 一 个 准确 定义 的 TCP 标记 ， 
Windows 系统 在 响应 字 节 中 ,不 设置 该 标记 ,而 是 会 复位 连接 。 
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d. ISN( 初 始 化 序列 号 )。 在 响应 一 个 连接 请 求 时 ,Windows 系统 选择 TCP ISN 时 采 
用 一 种 时 间 相 关 的 模型 。 

e. TOS( 服 务 类 型 )。 对 于 ICMP 端口 不 可 达 消 息 , Windows 送 回 包 的 值 为 0。 

f. 主机 使 用 的 端口 。Windows 会 开放 一 些 特殊 的 端口 ,比如 137、139 和 445。 

被 动 协议 栈 指 纹 鉴别 基本 内 容 : 

主动 协议 栈 指纹 识别 需要 主动 往 目标 发 送 数 据 包 , 往 往 容易 被 IDS 捕获 。 为 了 隐秘 地 
识别 远程 操作 系统 ,就 需要 使 用 被 动 协议 栈 指 纹 识 别 。 被 动 协议 栈 指纹 识别 在 原理 上 和 主 
动 协议 栈 指纹 识别 相似 ,但 是 它 不 主动 发 送 数 据 包 ,只 是 被 动 地 捕获 远程 主机 返回 的 包 , 分 
析 其 操作 系统 类 型 或 版 本 。 

在 TCP/IP 会 话 中 ,有 三 个 基本 属性 对 识别 操作 系统 有 用 。Windows 三 个 基本 属性 
如 下 : 

O TTL = 128,Time-To-Live 表示 存活 期 。 

@ Windows Size 窗口 大 小 二 0x402e。 

@ Don’t Fragment 位 (CDF)= 0( 分 片 ) 。 

被 动 分 析 这 些 属性 ,符合 上 述 结果 , 则 远程 操作 系统 类 型 为 Windows。 

(4) 端口 扫描 器 。 

O@ 端口 扫描 程序 NMap (Network Mapper)。NMap 是 一 款 开 源 免费 的 网 络 发 现 
(Network Discovery) 和 安全 审计 (Security Auditing) 工具, 一 个 跨 平 台 的 端口 扫描 工具 。 
NMap 是 一 个 网 络 连 接 端 扫描 软件 ,用 来 扫描 网 上 电脑 开放 的 网 络 连接 端 , 确 定 哪些 服务 运 
行 在 连接 端 ,并 且 推 断 计 算 机 运行 哪个 操作 系统 ( 亦 称 Fingerprinting) 。 

NMap 四 项 基本 功能 : 主机 发 现 (Host Discovery)、 端 口 扫描 (Port Scanning)、 版 本 侦 
测 (Version Detection) 操作 系统 侦 测 (Operating System Detection)。 这 四 项 功能 之 间 存 
在 大 致 的 依赖 关系 ,首先 需要 进行 主机 发 现 ,随后 确定 端口 状况 ,然后 确定 端口 上 运行 的 具 
体 应 用 程序 与 版 本 信息 ,然后 可 以 进行 操作 系统 的 侦 测 。 在 四 项 基本 功能 的 基础 上 ,NMap 
提供 防火 墙 与 人 侵 检 测 系 统 (Intrusion Detection System,IDS) 的 规避 技巧 ,可 以 综合 应 用 
到 四 个 基本 功能 的 各 个 阶段 ; NMap 提供 强大 的 NSE(Nmap Scripting Language) 脚 本 引擎 
功能 ,脚本 可 以 对 基本 功能 进行 补充 和 扩展 。 

ZenMap 是 NMap 官方 提供 的 用 Python 语言 编写 而 成 的 开源 免费 的 图 形 界面 ( 见 图 4-13)， 
能 够 运行 在 不 同 的 操作 系统 平台 上 。ZenMap 为 NMap 提供 简单 的 操作 方式 ,常用 的 操作 
命令 可 以 保存 成 为 Profile, 用 户 扫 描 时 选择 Profile 即 可 ; 可 以 方便 地 比较 不 同 的 扫描 结 
果 ; 提供 网 络 拓扑 结构 (Network Topology) 的 图 形 显示 功能 。 其 中 Profile 栏 位 ,用 于 选择 
“Zenmap 默认 提供 的 Profile” 或 “用 户 创建 的 Profile”; Command 栏 位 .用 于 显示 选择 
Profile 对 应 的 命令 或 者 用 户 自行 指定 的 命令 ; Topology 选项 卡 ,用 于 显示 扫描 到 的 目标 机 
与 本 机 之 间 的 拓扑 结构 。 

a. 主机 发 现 (Host Discovery)。 主 机 发 现 , 即 用 于 发 现 目标 主机 是 否 在 线 (Alive, 处 于 
开启 状态 ) ,如 图 4-14 所 示 。 主 机 发 现 原理 与 ping 命令 类 似 ,发 送 探测 包 到 目标 主机 ,如 果 
收 到 回复 ,说明 目标 主机 是 开启 的 。 
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qe: mmap [Scan TYPe(s)] [Options] {target specification} 
SPBECIPICATION: 

Can pass hostnames, IF addresses, netyorks, ecc,. 

Ex: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 


<inpurfilename>: InPUC from list of hosts/networks 
-iR <num hosts>: Choose random targets 
-exclude <hostl[,host2] [,host3],...>: Exclude hosta/ 
networks 
-excludefile <exclude file>: Exclude list from file 


-PO[protocol list]: IP Protocol Ping 
Never do DNS resolution/Always resolve [default: 
3] 


Srarring Nmap 5.51 ( hrrp://pmap.org ) at 2014-04-11 19:07 中 国标 准时 间 
hinap scan report for scanme.nmap.org (74.207.244.221) 

lHost is up (0.19s latency). 

imap done: 1_IP address (1 host up) scanned in 8.05 seconds 


图 4-14 主机 发 现 简单 演示 


使 用 Wireshark 抓 包 , 我 们 看 到 ,scanme. nmap. org 的 IP 地 址 182. 140. 147. 57 发 送 了 
四 个 探测 包 : ICMPEcho, 80 和 135 端口 的 TCP SYN 包 , 53 端口 的 UDP 包 (DNS 
Domain) 。 收 到 ICMP Echo 的 回复 与 80 端口 的 回复 ,如 图 4-15 所 示 , 从 而 确定 了 scanme. 
nmap. org 主机 正常 在 线 。 

b. 端口 扫描 (Port Scanning) 。 端 口 扫 描 是 NMap 最 基本 最 核心 的 功能 ,用 于 确定 目标 
主机 的 TCP/UDP 端口 的 开放 情况 。NMap 提供 丰富 的 命令 行 参数 来 指定 扫描 方式 和 扫描 
端口 ,如 图 4-16 所 示 。NMap 通过 探测 将 端口 划分 为 6 个 状态 : open, 端口 是 开放 的 
closed ,端口 是 关闭 的 ; filtered ,端口 被 防火 墙 IDS/IPS 屏蔽 ,无 法 确定 其 状态 ; unfiltered， 
端口 没有 被 屏蔽 ,但 是 否 开 放 需 要 进一步 确定 ; open | filtered, 端 口 是 开放 的 或 被 屏蔽 ; 
closed |filtered, 端 口 是 关 闭 的 或 被 屏 项。 


Captaring fron 本 地 连接 2 [Vireshark 1.11.2 (SYE Rev 53411 fron /trunk)] 


Ele Edt Vew Go Captre Anayze Statistcs Telephony Iool Intemals Heip 


@@ 加 回回 4| 四 回国 回 | < 图 国 趟 二 | 四 四 | - 


ter: | Bpresson.. Clear Appy Save 


EET 
2 
19: 
19: 


19: 
20: 


Protocol | Length | mm 


9.188.39.10 192.168.0.6 UDP 116 source port: 1rdmi Destination por- 
3.189.51.5 192.168.0.6 UpP 82 source port: domaintime Destinatiol 
2.168.0.6 74.207.244.221 ICMP 42 Echo (ping) request id-0x8d92，seql 
2.168.0.6 74.207.244.221 TcP 58 53620 - http [SYN] Seq=0 win=1024 LI 
2.168.0.6 74.207.244.221 DNS 54 server status request 0x0000 

2.110.22.33 192.168.0.6 UDP 83 source port: domaintime Destinatiol 
9.188.39.14 192.168.0.6 UpP 106 source port: irdni Destination por' 


Frame 1: 117 bytes on wire (936 bits), 117 bytes captured (936 bits) on interface 0 

Ethernet II, Src: Tp-LinkT_98:a6:ea (00:1d:0f:98:a6:ea), Dst: Dell_b2:05:67 (00:25:64:b2:05:67) 
Internet Protocol Version 4, Src: 119.188.39.6 (119.188.39.6), Dst: 192.168.0.6 (192.168.0.6) 
User Datagram Protocol, Src port: irdmi (8000), Dst Port: 59868 (59868) 

Data (75 bytes) 


从 
举 出 开 
C。 
体 的 应 
从 
图 中 红 
到 微软 特 


0000 00 25 64 b2 05 67 00 1d of 98 a6 ea 08 00 45 00 
0010 00 67 00 00 40 00 2e 11 ed 15 77 bc 27 06 co a8 
0020 00 06 1f 40 e9 dc 00 53 13 76 25 38 d2 24 19 ef 
0030 由 中 e3 bl 63 d8 e0 村 15 eb 23 e6 5c 8b b3 70 
0040 ac 8b 96 62 号 f9 fd 4c 33 01 3f 4d 3 
0050 d 27 e0 54 42 le 18 fb cd c9 00 1 


© 这 2 | Packets: 677 ， i i Default 


NX 


图 4-15 ”Wireshark 数据 包 分 析 


Daneel 


Hosts Services | Moop Output |Ports / Nosts |Topoloey |iost Detsils|scans| 
os lrost nmap -sS -sU -T4 一 top-ports 300 192.168.0.1 >| Details 


WW scanme map.org ( 
Starting Nmap 5.51 ( http://nmap.org ) ac 2014-04-11 19:31 中 国标 准时 间 
多 192.168.0.1 
himap scan report for 192.168.0.1 
D192.168.0.6 Bost is up (0.00s latency). 
入 192.168.0.8 Wot shown: 299 openlfiltered ports, 298 filtered ports 


PORT STATE SERVICE 
Bo/tcp open http 
1900/tcp open upnp 
17185/udp closed 
dreaa:_00:1D:0F:98:A6:EA (Ip-link Technologies Co.) 


hinap don 


: 1_IP address (1 host up) scanned in 4.70 seconds 


图 4-16 ”端口 扫描 简单 演示 


图 4-16 中 ,我 们 看 到 扫描 结果 , 横 线 处 写 明 共有 589 个 端口 是 关闭 的 ; 深 色 框图 中 列 

放 的 端口 和 可 能 是 开放 的 端口 。 

版 本 侦 测 (Version Detection) 。 版 本 侦 测 ,用 于 确定 目标 主机 开放 端口 上 运行 的 具 

用 程序 及 版 本 信息 。 图 4-17 显示 操作 系统 Windows 版 本 信息 。 

结果 中 ,我 们 可 以 看 到 996 个 端口 是 关闭 状态 ,对 于 4 个 open 的 端口 进行 版 本 侦 测 。 

色 为 版 本 信息 。 红 色 线 条 划 出 部 分 是 版 本 侦 测 得 到 的 附加 信息 ,因为 从 应 用 中 检测 
竺 定 的 应 用 服务 .所 以 推断 出 对 方 运行 的 是 Windows 操作 系统 。 
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Crem = 
mmap -sy 192.168.0.8 


[ rote 


ms -sy 192. 168.0.8 


arcing Nmap 5.51 ( hrcp://pmap-org ) ac 2014-04-11 19:45 中 国标 准时 间 
Nuap scan report for 192.168 
192.168.0.2 ost is up (0.009 latency) 
192.168.0.6 or shown: 3983_closed rorrs 
i B STATE SERVICE ~ VERSION 
msrpe Microsoft Windows RPC 
netbios-ssn 
netbios-ssn 
rrac? 
x12 
21:13 
msrpc Microsoft Windows RPC 
msrpe Microsoft Windows RPC 
msrpe Microsoft Windows RPC 
msrpe Microsort Windows RPC 
msrpe Microsoft Windows RPC 
Address:_74:D4:35:06:B9:31 (Unknown) 
ervice Info: OS: Windows 


192.168.0 1 


rvice detection performed. Please report any incorrect results at http://nmap.org/aubait/ . 
Nmap done: 1_IP address (1 host up) scanned in 76.56 seconds 


图 4-17 显示 Windows 版 本 信息 


d. 操作 系统 侦 测 (Operating System Detection)。 操 作 系 统 侦 测 用 于 检测 目标 主机 运 
行 的 操作 系统 类 型 及 设备 类 型 等 信息 ,NMap 使 用 TCP/IP 协议 栈 指纹 来 识别 不 同 的 操作 
系统 和 设备 ,目前 可 以 识别 2600 多 种 操作 系统 与 设备 类 型 。NMap 拥有 丰富 的 系统 指纹 数 
据 库 nmap-os-db ,图 4-18 显示 设备 类 型 信息 。 


E [可 
i 


[me Ba [pe 7 routs oolowr | owt porns [sews| 


os mp -0 192.168.0.8 
如 
人 
如 
本 


192, 168,0.1 Starting limap 5.51 ( hrcp://nmap-org ) at 2014-04-11 19:51 中 国标 准时 间 


nap acan report for 192.168.0. 
192. 168.0.2 t is up (0.00s latency). 
192.168.0.6 


192. 168.0.8 


netbios-ssn 
microsoft-ds 
rrac 

ll 

1:1 
nknowm 
unknowm 


74:D4:35:06:B9:31 (Unknown) 
Device cype:_general purpose 


detection performed. Please report any incorrect results at htcp://Dmap.org/submic/ . 
p done: 1_JP_ address (1 host up) scanned in 3.31 seconds 


图 4-18 显示 设备 类 型 信息 
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从 图 4-18 可 看 到 ,指定 -O 选项 后 先进 行 主机 发 现 与 端口 扫描 ,根据 扫描 到 的 端口 来 进 
行进 一 步 的 操作 系统 侦 测 。 获 取 结果 信息 有 设备 类 型 .操作 系统 类 型 与 CPE 描述 、 操 作 系 
统 细节 、 网 络 距离 等 。 

@ 综合 扫描 程序 X-SCAN。 采 用 多 线程 方式 对 指定 IP 地 址 段 (或 单机 ) 进 行 安 全 漏洞 
检测 ,支持 插件 功能 ,提供 了 图 形 界 面 和 命令 行 两 种 操作 方式 。 扫 描 内 容 包 括 : 远程 操作 系 
统 类 型 及 版 本 ,标准 端口 状态 及 端口 BANNER 信息 ,CGI 漏洞 ,IIS 漏洞 ,RPC 漏洞 , SQL- 
SERVER、FTP-SERVER、 SMTP-SERVER、POP3-SERVER、NT-SERVER 弱 口令 用 户 ， 
NT 服务 器 NETBIOS 信息 等 。 扫 描 结果 保存 在 /log/ 目 录 中 ,index_* . htm 为 扫描 结果 索 
引文 件 。 对 于 一 些 已 知 的 CGI 和 RPC 漏洞 ,xscanner 给 出 了 相应 的 漏洞 描述 、 利 用 程序 及 解 
决 方 案 ,节省 了 查找 漏洞 介绍 的 时 间 。 图 4-19 显示 X-SCAN 参数 设置 ,图 4-20 显示 扫描 报告 。 


了 扫 擅 参数 3 = x 


设置 
扫描 模块 指定 IF 范围 : 
并 发 扫描 219. 228. 171. 1-219. 228. 171. 255 示例 


插件 记 
端口 相关 设置 厅 了 了 没有 检 机 本 开放 洞 的 主机 
SHIP 相 基 设置 
Sere 厅 合用 AP9j 远 程 换 作 系统 
car 相关 设置 厂 显示 洋 细 浊 度 
字典 文件 设置 


图 4-19 X-SCAN 参数 设置 


@ 综合 扫描 器 程序 Superscan。Superscan 强大 的 端口 扫描 工具 ,探测 目标 主机 开放 的 
端口 和 服务 程序 ,从 而 获取 系统 的 有 用 信息 ,发 现 网 络 系统 的 安全 漏洞 。 

Superscan 端口 扫描 基本 原理 : SYN 用 来 建立 连接 ; ACK 为 确认 标志 位 ,例如 SYN= 
1、.ACK==0 表示 请 求 连 接 的 数据 包 ,SYN 王 1、ACK 王 1 表示 接受 连接 的 数据 包 ; FIN 表示 
希望 释放 连接 ; RST 位 用 于 复位 错误 的 连接 ,对 收 到 不 属于 该 主机 的 数据 分 段 ,拒绝 连接 
请 求 ; TCP SYN 扫描 ,本 地 主机 向 目标 主机 发 送 SYN 数据 段 , 目 标 主机 端口 开放 回应 
SYN 二 1.ACK==1, 端 口 未 开放 回应 RST; TCP FIN 扫描 ,本 地 主机 向 目标 主机 发 送 FIN= 
1, 目 标 主机 端口 开放 则 丢弃 此 包 不 回应 ,端口 未 开放 返回 一 个 RST 包 ; UDP ICMP 扫描 ， 
向 目标 主机 发 送 一 个 数据 包 , 返 回 一 个 ICMP_PORT_ UNREACHABLE 错误 ,端口 关闭 。 

Superscan 基本 功能 包括 : 通过 ping 检验 IP 是 否 在 线 ; IP 和 域名 相互 转换 ; 检验 目标 
计算 机 提供 的 服务 类 别 ; 检验 一 定 范围 目标 计算 机 是 否 在 线 和 端口 情况 ; 自 定义 要 检验 的 
端口 ,可 以 保存 为 端口 列表 文件 ; 软件 自 带 一 个 木马 端口 列表 trojans. lst, 通 过 这 个 列表 可 
以 检测 目标 计算 机 是 否 有 木马 ,也 可 以 自 定义 修改 这 个 木马 端口 列表 。 图 4-21 一 图 4-23 分 
别 所 示 为 Superscan 设置 端口 ,端口 扫描 ,扫描 报告 。 
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地 址 (D) | 村 ] C:\Documents and Settingstuser 点 面 \X-Scan-vy3.3-cn\X-5can-v3.3Wogt192_168_2_21_report.html 


本 报表 列 出 了 被 检测 主机 的 详 组 漏洞 信息 , 请 根据 提示 信息 或 链接 内 容 进 行 相应 修补 . 欢迎 参加 x-Scan 脚 本 翻译 项 E 


|2006-03-03 12:52:54 - 2006-03-03 12:58:30 

存活 主机 1 

漏洞 数量 0 

警 省 数量 io 

| 提示 数量 lz 

主机 检测 结果 
192,168,2.21 | 发 现 安全 提示 

| 主机 摘要 - 05: Unknown 05; PORTITCP: 25, 110 

5 地 ] 

主机 地 址 端口 /服务 服务 漏洞 
|192,168,2,21 smtp (2Sjtcp) 发 现 安全 提示 
192.168.2.21 pops (lloftcp) | 发 现 安全 提示 


图 4-20 X-SCAN 扫描 报告 


扫描 。 主机 和 服务 扫描 设置 | 扫描 选项 | 工具 ”| Windows 枚 举 | 关于 | 


民国 呈请 超时 设置 ms) 
万 查找 主机 忆 e s) om — 
厂 信息 请 家 
订 UDP 端口 扫 摘 超时 设置 ps) E000 
Ti J20 四 扫 匿 类 型 Data Data + ICHP 
站 束 端 加 | 
从 文 了 过 到 访 口 二 | 到 | 
一 清除 所 筷 | 清除 所 有 | 
订 TCP 端口 扫 撕 超时 设置 ms) J4000 
下 MD Eo 加 2 提亲 类 型 直 摘 连 接 个 下 证 
结束 端口 同 
人 人 文件 计 取 庄 口 二 | 半生 二 
WM | A | 
久生 丙 座 全 @) | 


图 4-21 Superscan 设置 端口 
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扫 菇 | 主机 和 服务 扫描 设置 | 扫 措 选项 | 工具 ”| Windows 术 举 | 关于 | 
IP 地 址 


Ens/m[ Rr | 
开始 地 KX] 1 1 10 a 192.168.1.100 192.168.1.254 
结束 1? XX| EEC 到 一 于 圭一 


从 文件 读 职 地 址 >| 


Live hosts this batch: 2 


192.168.1.100 
Hosrmame- [Unknown] 
TCP porcs (2) 139,445 
UDP ports (1) 137 


performing banner grabs... 
TCP banner grabbing (2 ports) 
UDP banner grabbing (1 porcs) 


Discovery scan finished: 08/29/11 21:14:34 


pj 下 | 站 | zemeny | 


因 夯 


图 4-22 ”Superscan 端口 扫描 


SuperScan Report - 08/29/11 21:14:07 


图 4-23 ”Superscan 扫描 报告 


@ 综合 扫描 器 程序 Fluxay。Fluxay 基本 功能 : 检测 POP3/FTP 主机 中 用 户 密 码 安 全 
漏洞 ; 163/169 双 通 ; 多 线程 检测 ,消除 系统 中 密码 漏洞 ; 高 效 的 用 户 流 模式 、 服 务 器 流 模 
式 , 同 时 对 多 台 POP3/FTP 主机 进行 检测 ; 最 多 500 个 线程 探测 ; 线程 超时 设置 ,自杀 功能 
阻塞 线程 ,不 影响 其 他 线程 ; 支持 10 个 字典 同时 检测 ; 检测 设置 可 作为 项 目 保 存 ; 取消 了 
国内 IP 限制 而 且 免 费 。 图 4-24 所 示 为 Fluxay 5 综合 扫描 工具 各 部 分 功能 ,图 4-25 所 示 为 
扫描 报告 。 
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x 小 霹 软 件 -【 流 光 5.0】 Build 3310 (0 用 户 ) 
文件 四 编辑 于 ) 查看 Mm 探测 人 E) 选项 D) 工具 II) 帮助 00 关于 必 ) 


小 相 软 件 实验 室 1995-2002 小 榕 作品 版 权 所 有 


4 


LE | 
F 且 SE 0 7 
图 4-24 ”Fluxay 扫描 功能 


图 4-24 中 各 区 域 介绍 如 下 。 
区 域 1: 暴力 破解 的 设置 区 域 。 
区 域 2: 控制 台 输 出 。 
区 域 3: 扫描 出 来 的 典型 漏洞 列表 。 
区 域 4: 扫描 或 者 暴力 破解 成 功 的 用 户 账号 。 
区 域 5: 扫描 和 暴力 破解 的 速度 控制 。 
区 域 6: 扫描 和 暴力 破解 时 的 状态 显示 。 
区 域 7: 中 止 按钮 。 
区 域 8: 探测 记录 查找 。 
扫描 报告 区 
扫描 报 省 [日 其 I 


127.0.0.1-127.0.0.255.html 2006j05117 01:27:22 
57 


关闭 


图 4-25 ”Fluxay 扫描 报告 


3. 进行 网 络 监听 
通过 踩点 收集 网 络 用户 名 、IP 地 址 范围 .DNS 服务 器 以 及 邮件 服务 器 等 信息 ,通过 扫描 
获得 目标 主机 端口 开关 、 运 行 的 服务 以 及 操作 系统 类 型 ,通过 查 点 搜索 目标 主机 系统 用 户 
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名 、 路 由 表 、SNMP 信息 、 共 享 资源 、 服 务 程序 及 旗 标 等 信息 。 黑 客 利用 网 络 监听 ,截获 网 络 
上 传输 的 信息 ,取得 超级 用 户 权限 ,获取 用 户 账 号 和 口令 。 

网 络 监听 只 能 应 用 于 连接 同一 网 段 的 主机 ,局 域 网 同一 个 网 段 的 所 有 网 络 接口 都 可 以 
访问 到 物理 媒体 上 传输 的 数据 ,每 一 个 网 络 接口 都 有 一 个 唯一 的 MAC 地 址 ,在 MAC 地 址 
和 了 JIP 地址 之 间 使 用 ARP 和 RARP 进行 相互 转换 。 以 大 网 的 工作 原理 : 将 要 发 送 的 数据 包 
发 往 连 接 在 同一 网 段 中 的 所 有 主机 ,在 包头 中 包含 应 该 接收 数据 包 的 主机 的 正确 地 址 ,只 有 
与 数据 包 中 目标 地 址 相同 的 主机 才能 接收 到 信息 包 。 当 主机 工作 在 监听 模式 下 ,无 论 数 据 
包 中 的 目标 物理 地 址 是 什么 ,主机 都 将 接收 。 网 络 监听 工具 称 为 嗅 探 器 (Sniffer) ,Sniffer 
可 以 是 软件 ,也 可 以 是 硬件 ,硬件 的 Sniffer 也 称 为 网 络 分 析 仪 。 了 解 Sniffer 的 工作 原理 ， 
需要 简单 熟悉 Hub 和 网 卡 的 工作 原理 。 

(1) Hub 和 网 卡 的 工作 原理 。 

以 太 网 等 很 多 网 络 是 基于 总 线 方式 ,物理 上 是 广播 的 ,就 是 当 一 个 机 器 发 给 另 一 个 机 器 
的 数据 ,共享 Hub 先 收 到 然后 把 它 接收 到 的 数据 再 发 给 Hub 上 的 其 他 每 个 接口 ,所 以 在 共 
享 Hub 所 连接 的 同一 网 段 的 所 有 设备 的 网 卡 都 能 接收 到 数据 。 而 对 于 交换 机 ,其 内 部 单 片 
程序 能 够 记 住 每 个 接口 的 MAC 地 址 ,能 够 将 收 到 的 数据 直接 转发 到 相应 接口 连接 的 计算 
机 ,不 像 共 享 Hub 那样 发 给 所 有 的 接口 ,所 以 交换 式 网 络 环境 下 只 有 相应 的 设备 能 够 接收 
到 数据 (除了 广播 包 )。 

网 卡 工 作 在 数据 链 路 层 ,在 数据 链 路 层 上 数据 是 以 帧 为 单位 传输 的 , 帧 由 几 部 分 组 成 ， 
不 同 的 部 分 执行 不 同 的 功能 。 其 中 , 帧 头 包括 数 据 的 MAC 地 址 和 源 MAC 地 址 。 帧 通过 
特定 的 称 为 网 络 驱动 程序 的 软件 处 理 进行 成 型 ,然后 通过 网 卡 发 送 到 网 线 上 ,通过 网 线 到 达 
目标 机 器 ,在 目标 机 器 的 一 端 执行 相反 的 过 程 。 

目标 机 器 网 卡 收 到 传输 来 的 数据 ,认为 应 该 接收 就 在 接收 后 产生 中 断 信 号 通知 CPU， 
认为 不 该 接收 就 丢弃 ,所 以 不 该 接收 的 数据 网 卡 被 截断 ,计算 机 根本 不 知道 。CPU 得 到 中 
断 信 号 产生 中 断 ,操作 系统 根据 网 卡 驱动 程序 中 设置 的 网 卡 中 断 程序 地 址 调用 驱动 程序 接 
收 数据 。 网 卡 收 到 传 来 的 数据 , 先 接收 数据 头 的 目标 MAC 地 址 。 只 有 目标 MAC 地 址 与 
本 地 MAC 地 址 相同 的 数据 包 ( 直 接 模式 ) 或 者 广播 包 ( 广 播 模 式 ) 或 者 组 播 数据 (组 播 模 
式 ) ,网 卡 才 接受 ,否则 数据 包 直 接 被 网 卡 抛弃 。 

网 卡通 常 有 4 种 接收 数据 方式 ; 广播 方式 ,接收 网 络 中 的 广播 信息 ; 组 播 方式 ,接收 组 
播 数据 ; 直接 方式 ,只 有 目的 网 卡 才能 接收 该 数据 ; 混杂 模式 ,接收 一 切 通 过 它 的 数据 ,而 
不 管 该 数据 是 否 传 给 它 的 。 网 卡 工作 混杂 模式 ,可 以 捕获 网 络 上 所 有 经 过 的 数据 帧 ,这 时 网 
卡 就 是 嗅 探 器 。 

(2) 网 络 监听 的 基本 原理 。 

Sniffer 的 基本 工作 原理 就 是 让 网 卡 接收 一 切 所 能 接收 的 数据 。Sniffer 工作 过 程 分 为 
三 步 : 网 卡 置 于 混杂 模式 ,捕获 数据 包 , 分 析 数 据 包 。 

ARP 用 于 IP 地 址 到 MAC 地 址 的 转换 ,地 址 映像 关系 存储 在 ARP 缓存 表 中 。 黑 客 攻 
击 ARP 缓存 表 , 将 发 送 给 正确 主机 的 数据 包 . 由 攻击 者 转发 给 其 控制 的 另外 主机 。 对 于 共 
享 式 网 络 环境 ,攻击 者 只 需 把 网 卡 设置 为 混杂 模式 。 对 于 交换 式 网 络 环境 ,攻击 者 会 试探 交 
换 机 是 否 存在 失败 保护 模式 (Fail-Safe Mode); 由 于 交换 机 维护 IP 地 址 和 MAC 地 址 的 映 
像 关系 需要 花费 一 定 的 处 理 时 间 , 当 网 络 通 信和 出现 大 量 虚假 MAC 地 址 时 , 某 些 类 型 交换 机 
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出 现 过 载 情况 会 转换 到 失败 保护 模式 ,工作 模式 与 共享 式 相 同 。 如 果 交 换 机 不 存在 失败 保 
护 模 式 , 则 需 使 用 ARP 欺骗 。ARP 欺骗 需要 攻击 者 主机 具有 IP 数据 包 的 转发 能 力 ,拥有 
两 块 网 卡 ,假设 IP 地 址 分 别 是 192. 168. 0. 5 和 192. 168. 0.6, 插 入 交换 机 两 个 端口 , 它 截 获 
目标 主机 192. 16. 0. 3 和 网 关 192. 168. 0. 2 之 间 的 通信 ,如 图 4-26 所 示 。 


ee 
| 


一 一 
192.168.0.4 192.168.0.3 


图 4-26 ARP 欺骗 攻击 


主机 A(192. 168. 0. 4) 通 过 网 关 (192. 168. 0. 2) 访 问 因特网 ,广播 ARP 请 求 ,要 求 获得 
网 关 MAC 地 址 。 交 换 机 收 到 ARP 请 求 , 将 请 求 包 转发 给 各 个 主机 ; 交换 机 将 更 新 MAC 
地 址 和 端口 之 间 的 映射 表 , 主 机 A 绑 定 所 连接 的 端口 。 网 关 收 到 ARP 请 求 ,发 出 带 有 网 关 
MAC 地 址 的 ARP 响应 。 网 关 更 新 ARP 缓存 表 , 绑 定 主机 A 的 IP 地址 和 MAC 地 址 。 交 
换 机 收 到 网 关 对 主机 A 的 ARP 响应 ,查找 它 的 MAC 地 址 和 端口 之 间 上 映射 表 ,转发 ARP 
数据 包 到 相应 端口 。 交 换 机 更 新 MAC 地 址 和 端口 之 间 的 映射 表 , 即 将 192. 168. 0. 2 绑 定 
连接 端口 。 主 机 A 收 到 ARP 响应 包 , 更 新 ARP 缓存 表 , 绑 定 网 关 的 IP 地 址 和 MAC 地 址 。 
主机 A 用 新 MAC 地 址 信息 把 数据 发 送 给 网 关 , 通 信 信 道 建立 。 在 ARP 欺骗 的 情况 下 , 攻 
击 者 诱 使 目标 主机 (192. 168. 0. 3)、 网 关 (192. 168. 0. 2) 与 其 通信 ; 攻击 者 伪装 成 路 由 器 ,使 
目标 主机 和 网 关 之 间 所 有 数据 通信 经 由 攻击 者 主机 转发 ,攻击 者 可 对 数据 随意 处 理 。 如 果 
攻击 者 执行 两 次 ARP 欺骗 ,就 能 同时 欺骗 目标 主机 和 网 关 。 

(3) Sniffer 演示 。 

硬件 Sniffer 价格 昂贵 ,功能 非常 强大 ,可 以 捕获 网 络 上 所 有 的 传输 ,并 且 可 以 重新 构造 
各 种 数据 包 。 软 件 Sniffer 有 Sniffer Pro、Wireshark 等 ,优点 是 物美 价 廉 易 于 使 用 ,缺点 是 
无 法 捕获 网 络 上 所 有 的 数据 传输 ,无 法 真正 了 解 网 络 的 故障 和 运行 状态 。 

WireShark 是 一 款 运 行 在 多 个 操作 系统 平台 上 的 网 络 协 议 分 析 工 具 软 件 , 其 主要 作用 
是 尝试 捕获 网 络 包 ,显示 包 的 详细 情况 。WireShark 是 今天 最 好 的 开源 网 络 协 议 分 析 软 件 ， 
Etheral 更 高 级 的 演进 版 本 ,包含 WinPcap; 通常 运行 在 路 由 器 或 有 路 由 功能 的 主机 上 ,这 
样 就 能 对 大 量 的 数据 进行 监控 ,几乎 能 得 到 以 太 网 上 传送 的 任何 数据 包 。 

WireShark 有 WireShark-win32 和 WireShark-win64 两 个 版 本 ,WireShark-win32 可 在 
大 多 数 计 算 机 系统 上 运行 ,WireShark-win64 必须 安装 在 64 位 CPU 和 64 位 操作 系统 的 计 
算 机 中 。 图 4-27 一 图 4-29 所 示 分 别 为 WireShark 捕获 数据 包 设 置 、 捕 获 数据 包 、 捕 获 TCP 
数据 包 。 
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Captue 


Interface: |Local 9 


IF sddress; 192.168.1.100 


Linlk-layer header type; Tatel OR) TRO/1 


[Adapter for generic dislup and VPH 


Bcspture packets in pronid 


口 Captuwre packets in pcap-ng format (experinentsl) 
Linit each packat to |65535 2 bytes 


Buffer size: negabyte ls) 


Eapture Filter: | | 


[EE] [eenpize ser] 


Capture File(s) 


File; 


[Browse. 


Display Options 


YUpdate list of packets in real time 


口 wse gutiple files 


本 ext file every [i vl rine Ti is 
Next file every [i 2 lhinute (s) ~ a 
Ring buffer yith files 
= me Resolution- 
Stop capture after fllels) | 
Ct 回 Enable NAC nane resolution 
口 … atr [1 > 口 Ensble network name resolution 
.fter | 2 


回 Enable transport name resolution 


图 4-27 ”WireShark 捕获 数据 包 设置 


minute(s) v 


File Edit Yiew Go Capture Analyre Statistics Telephony Tools Internals Help 


革 半 村 寻 几 | 巴 因 和 人 品 | 人 皇宫 唤 吾 业 | [| 思 已 和 加 | 本 因 阳 > 


了 ilter Expression... Cleer Apply 


Protocol Length 图 


5 
3 
8 
日 
弛 
避 


< = = | 
Frame 17: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) 

Ethernet II, Src: IntelCor_85:1f:b7 (00:13:20:85:1f:b7), Dst: Tp-LinkT_e4:c8:ce 〔e0:05:c5:e| 
国 Internet Protocol, src: 192.168.1.100 (192.168.1.100), Dst: 220.181.111.78 (220.181.111.78) 


:上面 > 


| Packets: 308 Displayed; 308 Marked: 0 … | Profile: Default 


© Frane (rane), 66 bytes 


图 4-28 ”WireShark 捕获 数据 包 
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二 
b77， -LinkT_e4 :CS:Ce ee 

a Internet Protocol, src: 192.168. Et (220.181.111.174 

日 


Source port: 4469 (4459) 
Destination port: hrtp C80) 


(relative sequence number) 
ytes 


Os 
Reserved: NOT set 
Nonce: Not Ser 
gestion Windoy Reduced (CwR): Not ser 


Te 
60 34 3c $e 40 06 40 95 050 06 cO a8 ol 64 de bs 

0 6f ae 11 75 00 50 63 28 ez ca 00 00 00 00 80 02 

0 fa 19 08 ff 00 00 02 04 05 b4 01 03 03 00 01 01 


图 4-29 ”WireShark 捕获 TCP 数据 包 
4.2.2 攻击 的 实施 阶段 


1. 黑客 攻击 的 一 般 步骤 


黑客 攻击 的 目标 偏好 不 同 、 技 能 有 高 低 之 分 .手法 多 种 多 样 , 但 他 们 对 目标 实施 攻击 的 
步骤 大 致 相同 。 一 般 有 8 大 步骤 : 踩点 ,扫描 \ 查 点 ` 实 施 和 人 侵 .提升 权限 、 窃 取 、 掩 盖 踪 迹 和 
植 人 后 门 。 黑 客 攻击 的 一 般 步 骤 如 图 4-30 所 示 。 


踩点 

十 | 
1 到 

查 点 六 


模拟 攻击 / 
1 / 


实施 入 侵 总 


4-30 ”黑客 攻击 的 一 般 步骤 


踩点 指 获取 有 关 目 标 计 算 机 网 络 和 主机 系统 安全 态势 的 信息 。 不 同 的 系统 有 不 同 的 轮 
廓 ,也 就 是 说 ,对 于 其 他 站 点 来 说 是 独一无二 的 特性 。 踩 点 主要 收集 的 信息 包括 各 种 联系 信 
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三 


息 ,包括 名 字 邮件 地 址 和 电话 号 码 、 传 真 号 ; IP 地 址 范围 ; DNS 服务 器 ; 邮件 服务 器 。 

网 络 扫描 指 检测 目标 系统 是 否 同 互联 网 连接 .所 提供 的 网 络 服务 类 型 等 。 通 过 网 络 扫 
描 所 能 够 获得 的 信息 包括 被 扫描 系统 所 运行 的 TCP/UDP 服务 ; 系统 体系 结构 (Sparc， 
Alpha,x86); 通过 互联 网 可 以 访问 的 IP 地 址 范围 ; 操作 系统 类 型 。 

查 点 指 提取 系统 的 有 效 账号 或 输出 资源 名 的 过 程 。 通 常 这 种 信息 是 通过 主动 同 目标 系 
统 建立 连接 来 获得 的 ,因此 这 种 查询 在 本 质 上 要 比 踩 点 和 端口 扫描 更 具 和 人 侵 性 。 查 点 通常 
跟 操作 系统 有 关 , 所 收集 的 信息 有 用 户 名 和 组 名 信息 .系统 类 型 信息 .路 由 表 信 息 以 及 
SNMP 信息 。 

这 个 阶段 主要 是 看 通过 什么 样 的 渠道 进行 人 侵 。 根 据 前 面 收集 到 的 信息 ,是 采用 Web 
网 址 人 侵 ,还 是 服务 器 漏洞 入 侵 或 欺骗 攻击 ,这 需要 根据 具体 的 情况 来 定 。 

入 侵 的 一 部 分 目的 当然 是 获取 权限 。 通 过 Web 入 侵 能 利用 系统 的 漏洞 获得 管理 员 后 
台 密 码 , 然 后 登录 后 台 。 这 样 就 可 以 上 传 一 个 网 页 木马 ,如 ASP 木马 .PHP 木马 等 。 根 据 
服务 器 的 设置 不 同 ,得 到 的 木马 权限 也 不 一 样 ,所 以 还 要 提升 权限 。 

掩盖 踪迹 , 即 清除 自己 所 有 的 入 侵 痕 迹 。 主 要 工作 有 禁止 系统 审计 、 隐 藏 作案 工 具 、 清 
空 时 间 日 志 ( 使 用 zap、wzap、wted 等 ) 替换 系统 常用 操作 命令 等 。 

一 般 黑客 都 会 在 攻 入 系统 后 不 止 一 次 地 进入 系统 。 为 了 下 次 以 特权 身份 控制 整个 系 
统 , 主 要 工作 有 : 创建 具有 特权 用 户 权限 的 虚拟 用 户 账号 安装 远程 控制 工具 、 使 用 木马 程 
序 替 换 系 统 程序 .安装 监控 程序 等 。 

2. 黑客 如 何 实施 攻击 

网 上 的 攻击 方式 很 多 ,7 种 最 常见 的 攻击 方法 与 技术 包括 口令 破解 攻击 .缓冲 区 溢出 攻 
击 、 欺 骗 攻 击 .DoS/DDoS 攻击 、SQL 注入 攻击 、 网 络 蠕虫 攻击 和 木马 攻击 。 

1) 口令 破解 攻击 

密码 破解 不 一 定 涉及 复杂 的 工具 。 它 可 能 与 找 一 张 写 有 密码 的 贴纸 一 样 简单 ,而 这 张 
纸 就 贴 在 显示 器 上 或 者 藏 在 键盘 底下 。 另 一 种 蛮 力 技术 称 为 垃圾 搜寻 (dumpster diving)， 
它 基 本 上 就 是 一 个 攻击 者 把 垃圾 文件 搜寻 一 遍 以 找 出 可 能 含有 密码 的 废弃 文档 。 攻 击 者 也 
使 用 一 些 更 高 级 的 复杂 技术 。 

(1) 字典 技术 。 

到 目前 为 止 ,一 个 简单 的 字典 攻击 是 问 入 机 器 的 最 快 方法 。 字 典 文件 (一 个 充满 字典 文 
字 的 文本 文件 ) 被 装 入 破解 应 用 程序 (如 LOphtCrack) , 它 是 根据 由 应 用 程序 定位 的 用 户 账 
户 运行 的 。 因 为 大 多 数 密码 通常 是 简单 的 ,所 以 运行 字典 攻击 通常 足以 实现 目的 了 。 

(2) 混合 攻击 。 

另 一 个 众所周知 的 攻击 形式 是 混合 攻击 。 混 合 攻击 将 数字 和 符号 添加 到 文件 名 中 以 成 
功 破 解密 码 。 许 多 人 只 通过 在 当前 密码 后 加 一 个 数字 来 更 改 密码 。 其 模式 通常 采用 这 一 形 
式 : 第 一 个 月 的 密码 是 cat; 第 二 个 月 的 密码 是 catl; 第 三 个 月 的 密码 是 cat2 ,依次 类 推 。 

(3) 暴力 攻击 。 

暴力 攻击 是 最 全 面 的 攻击 形式 ,虽然 它 通常 需要 很 长 的 时 间 , 工 作 时 间 取 决 于 密码 的 复 
杂 程 度 。 根 据 密码 的 复杂 程度 , 某 些 暴力 攻击 可 能 花费 一 个 星期 的 时 间 。 

(4) 系统 账户 破解 工具 LC5。 

口令 破解 工具 很 多 ,在 此 重点 介绍 最 常用 的 系统 账户 破解 工具 LC5 和 Word 文件 密码 


第 4 章 ”网络 攻击 与 安全 防范 99 


破解 工具 Word Password Recovery Master。 

在 Windwos 操作 系统 当中 ,用 户 账 户 的 安全 管理 使 用 了 安全 账号 管理 器 (Security 
Account Manager,SAM) 的 机 制 , 用 户 和 口令 经 过 Hash 变换 后 以 Hash 列表 形式 存放 在 \ 
SystemRoot\system32 下 的 SAM 文件 中 ,LC5 主要 是 通过 破解 SAM 文件 来 获取 系统 的 账 
户 和 密码 。LC5 可 以 从 本 地 系统 、 其 他 文件 系统 、 系 统 备份 中 获取 SAM 文件 ,从 而 破解 出 
用 户口 令 。 

在 测试 主机 上 建立 用 户 名 为 test 的 账户 ,方法 是 依次 打开 “控制 面板 ”1“ 计 算 机 管理 ”， 
在 “本 地 用 户 和 组 ”中 选择 “用 户 ”, 如 图 4-31 所 示 , 输 入 用 户 名 为 test, 密 码 为 空 。 


文件 吕 ” 换 作 (6) ”查看 (VW) 窗口 (Ww) 帮助 td) =l8|x| 
了 回国 X 区 要 国 图 四 
力 计算 机 管理 本 地 ) 名称 全 各 1 | 
日 葬 系统 工具 ware uvmware ucer are User 
Et Rannistrator 管理 计算 机 ( 域 ) 的 内 置 帐户 
生 用语 AspwET ASP.NET Machine Account 。 Account used for running the ASP.N,.. 
包 用 户 Guest 供 来 宾 访问 计算 机 或 访问 城 的 内 … 
国 组 HelpAssistant 。 远程 桌面 助手 帐户 提供 远程 协助 的 帐户 
四 加 性 能 日 志和 警报 JUSR_ZDY Internet 来 宾 帐 己 匿名 访问 Internet 信息 服务 的 内 … 
设备 管理 器 IWAM_ZJJY 。 启动 D05 进程 帐户 用 于 启动 进程 外 应 用 程序 的 Inter… 
日 多 存储 5QLDebugger ”5QLDebugoer This user account is used by the Visu,,. 
国生 可 移动 存储 SUPPORT_38,.，CN=Microsoft Corporation.,， 这 是 一 个 帮助 和 支持 服务 的 提供 
磁盘 矿 片 整理 程序 bes test 


Server Account 


图 4-31 建立 测试 账户 


在 LC5 主 界面 的 主 菜单 中 ,选择 “文件 "|*LC5 向 导 ” 命 令 , 单 击 * 下 一 步 ” 按 钮 ,系统 会 
出 现 如 图 4-32 所 示 的 用 户 test“ 密 码 为 空 ”的 破解 成 功 界面 。 


文件 上 查看 ( 力 | 会 话 (3) 任务 (已 纠正 (&) 上 帮 且 (Ht) 


外 多 OS 本 名 >ia 国 他 


HelpAssistant 
IUSR_ZIY 200 
IWAM_ZI)Y 200 

Debugger ,名 200 
SUPPORT_38894530 加 200 


图 4-32 密码 为 空 破解 结果 界面 


将 系统 密码 改 为 123123, LC5 很 快 会 破解 成 功 ,出 现 如 图 4-33 所 示 的 用 户 test、 密 码 
为 123123 的 破解 成 功 界面 。 

将 系统 密码 改 为 security123, 再 次 执行 ,LC5 没有 完全 破解 ,出 现 如 图 4-34 所 示 的 
界面 。 

这 是 因为 刚才 密码 设置 成 了 “字符 串 ” 十 “数字 ”格式 ,比较 复杂 ,所 以 破解 不 能 成 功 , 必 
须 选择 复杂 口令 破解 方法 。 

如 果 LC5 设置 为 “字典 攻击 “混合 字典 ”和 “暴力 破解 ”等 复杂 模式 ,上 述 密 码 可 以 破 
解 成 功 ,设置 方法 如 图 4-35 所 示 。 
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| Guest * empty * 


elphssistant | 
SUFFORT_388945eD | enpty * 
| et 123123 


Administrator 


图 4-33 ”密码 为 123321 破解 结果 界面 


HelpAssistent 
SUPPORT 399450 # enpty * 

est SPCURIT??????? 
.Administrator 


图 4-34 破解 失败 
(5) Word 文件 密码 破解 工具 Word Password 


Recovery Master。 

一 般 情 况 下 ,Word 2010 文件 加 密 是 采用 Word 字 
处 理 软件 自 带 的 加 密 功能 ,在 Word 文件 编辑 状态 下 ， 
选择 “文件 "| 信息 ”| 保护 文档 ”出 现 如 图 4-36 所 示 
的 界面 。 

设置 如 图 4-37 所 示 “ 用 密码 进行 加 密 ”, 输 入 密码 
再 次 确认 后 ,出 现 如 图 4-38 所 示 界 面 。 

Word 文件 密码 恢复 工具 软件 Word Password 
Recovery Master 在 打开 Word 文档 移 除 密码 时 ,连接 
到 Rixler 服务 器 ,如 图 4-39 所 示 , 单 击 “ 移 出 密码 ” 按 
钮 ,文件 被 成 功 解密 ,如 图 4-40 所 示 。 

2) 缓冲 区 溢出 攻击 

缓冲 区 溢出 是 一 种 非常 普遍 又 非常 危险 的 漏洞 ,在 
各 种 操作 系统 、 应 用 软件 中 广泛 存在 。 利 用 缓冲 区 溢出 
攻击 ,可 以 导致 程序 运行 失败 、 系 统 死机 、 重 新 启动 等 后 
果 。 更 为 严重 的 是 ,可 以 利用 它 执行 非 授权 指令 ,甚至 
可 以 取得 系统 特权 (* 肉 机 ”), 进 而 进行 各 种 非法 操作 。 


厅 使 用 “字典 攻击 ”破解 口令 


可 取消 已 
图 4-35 设置 复杂 破解 模式 


据 统 计 , 通 过 缓冲 区 溢出 进行 的 攻击 已 占 所 有 系统 攻击 总 数据 的 80% 以 上 。 


第 4 章 网 络 攻击 与 安全 防范 101 


EE A rs 3 有 4 Methmpe 


园 伏 # 
另存 为 
加 打开 
国 关于 
需要 产品 激活 
外 本。 。 Microsoft Office Professional Plus 2010 要 求 有 效 的 产品 许可 证 ， 请 立 
汕 疡 品 下 激 活 产品 记 钥 以 获取 有 效 的 产品 许可 证 。 
| 
打印 兼容 模式 
大 败 。。 与 Bi 本 的 Office 一 起 后 用时， 革新 功能 导 某 用 ,以 防止 出现 问题. 转 
保存 并 发 送 转换 。 | 换 此 文件 符 启 用 这 些 功能 ， 但 可 能 会 导致 局 更 改 。 
帮助 | 
四 选项 
= 权限 
国 id 名 EN sme. 
保护 文档 
| A 
图 4-36 Word 文档 密码 设置 界面 
标记 为 最 终 状 态 ( 
二 。 让 起 省 知晓 文档 是 最 终 本 本 
并 梅 其 设 为 只 该 的, 
村 ER 
sional Plus 2010 要 求 有 效 的 产品 许可 证 ， 请 立 
楼 ， 有 效 的 产品 许可 证 . 
限制 编辑 (D) 
控制 其 他 人 可 以 对 此 文档 所 做 
的 更 改 半 型. 
按 人 员 限制 权限 (R) 
授予 用 户 访问 权限 , 同 对 限制 ， 时 ， 标 此 新 功能 被 车 用 ， 以 防止 出 现 问题 . 转 
其 闹 编 、 复 制 和 打印 能 力 , 能 ， 但 可 能 会 导致 布局 更 改 . 
添加 数字 签名 (S) 
通过 添加 不 可 见 的 数字 签名 来 
确保 文档 的 完整 性 , 
权限 
名 任何 人 均 可 打开 、 复 制 和 更 汐 此 文档 的 任何 部 分 . 
人 


图 4-37 Word 文 档 加 密 界面 


图 4-38 打开 Word 文档 输入 密码 界面 
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文件 帮助 
文件 名 连接 Eq 


国 C:\Documents and Settines\Aninistrator\ 桌 面 | 加 


“打开 ”密码 : 
| 从 这 个 文档 中 移 除 保护 宝 码 | 


图 4-39 打开 Word 文档 移 除 密码 


Office Password Remover 区 


和 这 个 文 析 忆 起 补 记功 和 1 
CE 
图 4-40 文件 成 功 解密 


通过 往 程 序 的 缓冲 区 写 超出 其 长 度 的 内 容 , 造 成 缓冲 区 的 溢出 ,从 而 破坏 程序 的 堆栈 ， 
造成 程序 衣 溃 或 使 程序 转 而 执行 其 他 指令 ,以 达到 攻击 的 目的 。 造 成 缓冲 区 溢出 的 原因 是 
程序 中 没有 仔细 检查 用 户 输入 的 参数 。 例 如 下 面 的 程序 : 

void function(char * str) { 

char buffer[16]; 

strcpy(buffer, str) 

} 

上 面 的 strcpy() 将 直接 把 str 中 的 内 容 复制 到 buffer 中 。 这 样 只 要 str 的 长 度 大 于 16， 
就 会 造成 buffer 的 溢出 ,使 程序 运行 出 错 。 随 便 往 缓冲 区 中 填 东 西 造成 溢出 一 般 出 现 “分 
段 错 误 ”"(Segmentation Fault) ,不 能 达到 攻击 的 目的 。 最 常见 手段 是 通过 制造 缓冲 区 洲 
出 使 程序 运行 一 个 用 户 shell, 再 通过 shell 执行 其 他 命令 。 如 果 程 序 有 root 或 者 suid 执 
行 权限 ,攻击 者 就 获得 一 个 root 权限 的 shell, 可 以 对 系统 进行 任意 操作 。Windows 系统 
的 内 存 结构 如 图 4-41 所 示 , 在 计算 机 运行 时 将 内 存 划 分 为 3 个 段 : 代码 段 、 数 据 段 和 堆 
栈 段 。 


| | 代码 段 : 数据 只 读 , 可 执行 。 代 码 段 存放 了 程 
1 (ead 序 的 代码 ,在 代码 段 中 的 数据 库 是 在 编译 时 生成 的 
(已 初始 化 ) ， Lower Memory Add 二进制 机 器 代码 ,可 供 CPU 执行 ,在 代码 段 一 切 数 
| aom | 据 不 允许 更 改 。 任 何尝 试 对 该 区 的 写 操作 都 会 导 
; “(静态 数据 区 ) 。， 致 段 违法 出 错 (Segmentation Fault) 。 
| (未 初始 化 ) | 数据 段 : 静态 全 局 变量 ,位 于 数据 段 并 且 在 程 
全 序 开始 运行 时 被 加 载 。 

堆栈 (Stack) 1 Higher Memory Add 堆栈 段 : 放置 程序 运行 时 动态 的 局 部 变量 ,局 

| ears 部 变量 的 空间 被 分 配 在 堆栈 里 面 。 


缓冲 区 是 一 块 连续 的 计算 机 内 存 区 域 。 在 程 
图 4-41 Windows 系统 的 内 存 结构 


序 中 ,通常 把 输入 数据 存放 在 一 个 临时 空间 内 ,这 
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个 临时 存放 空间 被 称 为 缓冲 区 ,也 就 是 所 说 的 堆栈 段 。 

在 计算 机 内 部 ,如 果 一 个 容量 有 限 的 内 存 空间 里 存储 过 量 数 据 , 这 时 数据 会 溢出 存储 空 
间 。 缓 冲 区 攻击 主要 是 通过 往 程序 的 缓冲 区 写 超出 其 长 度 的 数据 ,造成 缓冲 区 的 溢出 ,从 而 
破坏 程序 的 堆栈 ,使 程序 转 而 执行 其 他 指令 ,以 达到 攻击 的 目的 。 最 常见 的 手段 是 通过 制造 
缓冲 区 溢出 使 程序 运行 一 个 用 户 shell, 再 通过 shell 执行 其 他 命令 。 如 果 该 程序 属于 root 
且 有 suid 权限 的 话 , 攻 击 者 就 获得 了 一 个 有 root 权限 的 shell, 就 可 以 对 系统 进行 任意 操 
作 了 。 

演示 程序 : 

/* Windows 缓冲 区 溢出 攻击 演示 程序 * / 


char bigbuff[ ] = "aaaaaaaaaa"; //10 个 a 

int main() 

{ 
char smallbuff[5]; // 只 分 配 5 个 字 节 空间 
strcpy( smallbuff, bigbuff); 

} 


程序 用 VC++6. 0 编辑 器 编译 完成 后 ,生成 exe 文件 ,进行 调试 ,如 图 4-42 所 示 。 
OllDbg 的 左上 部 分 是 反 汇 编 编辑 窗口 ,00401190 地 址 开始 部 分 是 main 函数 的 反 汇 编 代 
码 。 右 上 部 分 是 寄存 器 窗口 ,左下 部 分 是 数据 区 窗口 ,可 以 看 出 00421A30 地 址 开始 存放 的 
是 字符 串 bigbuff[ ] 数 据 , 即 10 个 “a”(ASCII 码 为 61) , 右 下 角 是 堆栈 窗口 。 


090401190 55 push ebp 
9669491191|| . 8BEC mov ebp, esp 加 | 
00491193|| . 6A FF push -1 | Ecx e012FFBS 
B0401195|| . 68 19214288 | push 98422119 EDX 7C92E514 ntdl1.KiFast: 
9gwe119n|| . BBwB2FnB SE 处 理 程序 安 |EBx 7FF06999 
BO40119F || . eax, duord ptr fs:[9] ESP O012FFCh 
004911A5|| - eax EBP O012FFF® 
B04011A6 | . 64:8925 9999| mou dword ptr Fs:[0], esp ESI FFFFFFFF 
beh - Fe = 二 -18 EDI 7C938228 ntd1l.7C9392; 
S ebx 
Qn91181|| 。 56 < EIP 9901199 test… 模 块 入 
66401182|| 。 57 push edi 5 9 ES 9923 32 位 9(FFFFFI 
90401183|| . 8965 E8 mou ,esp P1 CS 9018 32 位 8(FFFFFI 
BOug11B6 | . FF15 CA1420| call dword ptr [<&KERNEL32-6etUersiol kernel32.Gett Ag SS 0023 32 位 BCFFFFFI 
0049118C || - nov dword ptr [427C7C], eax Z 1 DS 9823 32 位 9(FFFFFI 
89u911C1|| 。 A1 7C7Ch208 | mou eax, duord ptr [427C7C] S 8 FS 9038 32 位 7FFDF90 
TB 6S 9999 NULL 
B04011C9 | 。 25 FF900008 | and eax, OFF D 9 
QO4011CE || - mov duord ptr [427C88], eax 0 9 LastErr ERROR_SUCCES: 
084811D3|| . ecx, duord ptr [427C7C] Es 
| ecx’, OFF EFL O0008246 (NO,NB,E,BE,l 
904811DF || - 9 dword ptr [427C84], ecx STB enpty -UNORM BDEC 010 
Bos911E5 | . 8B15 847C4208|mov edx, duord ptr [427C84] ST1 empty 9.9 
O0011EB|| . C1E2 G8 shl edx, 8 ST2 enpty 9.9 
BAMOT1EE | . 6315 887C428|add edx, duord ptr [427C88] ST3 empty 9.9 
OOOT1Fs)| . 8915 BO7Ch20! nou dword ptr [427C88], edx | st enpty ee 
ST5 empty 8.8 
ST6 enpty 0.0 
00424000| [akaad) el 
B84248010 | B812FFC8| 7C939228|ntdl 
B0424020| B012FFCC 
68424038| Be12FFDB 
B0424040 | BeB12FFD4 
09042485 9912FFD8 


4-42 ”OliDbg 反 汇 编 信 息 
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接 下 来 介绍 Windows 平台 下 的 洲 出 过 程 。 程 序 调 试 过 程 中 ,堆栈 区 域 数据 变化 的 过 
程 。 把 光标 放 在 程序 起 点 , 即 地 址 00401190, 然 后 按 F4 键 执行 ,观察 堆栈 数据 变化 ,直到 
RETN 命令 后 ,出 现 如 图 4-43 所 示 返 回 消息 。 


: 
Be rd, En 
J RS rE 


路 
隐 名 是 束 | 
全 8 MCL 


BusH 
Er LassErr ERROR. Taeaeaaee 
oh Ee dR BR SS, EgP-10] A 
poy Bose PTR Fer cB EE 


BSN EBP 
PO EBP Esp 
DP PookE PTR pe 4370681,2 
A 
pO EBM DUORD PTR ss: LEBP+e] 
SN ER [ed 
SR tose, et.00403000 
B00 spe 


FF 
ER BORO PTR DS1 C424n40] 
FE 
POP EEP: 


Fe 0 


图 4-43 ”执行 完 RETN 后 显示 的 信息 


3) 欺骗 攻击 

(1) 源 IP 地 址 欺骗 攻击 。 

许多 应 用 程序 认为 如 果 数 据 包 能 够 使 其 自身 沿 着 路 由 到 达 目 的 地 ,而 且 应 答 包 也 可 以 
回 到 源 地 ,那么 源 IP 地 址 一 定 是 有 效 的 ,而 这 正 是 使 源 IP 地 址 欺骗 攻击 成 为 可 能 的 前 提 。 

假设 同一 网 段 内 有 两 台 主机 A 和 B, 男 一 网 段 内 有 主机 C, 如 图 4-44 所 示 。B 授予 A 
某 些 特权 ,C 为 获得 与 A 相同 的 特权 ,所 做 欺骗 攻击 如 下 : 首先 ,C 冒充 A, 向 主机 B 发 送 一 
个 带 有 随机 序列 号 的 SYN 包 。 主 机 也 响应 , 回 送 一 个 应 答 包 给 A ,该 应 符号 等 于 原 序 列 号 
加 1。 然 而 ,此 时 主机 A 已 被 主机 C 利用 拒绝 服务 攻击 “淹没 "了 ,导致 主机 A 服务 失效 。 


Alice 


a En Bob < Hil'm Alice > 


图 4-44 源 卫 欺骗 攻击 
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结果 ,主机 A 将 B 发 来 的 包 丢 弃 。 为 了 完成 3 次 握手 ,C 还 需要 向 B 回 送 一 个 应 答 包 ,其 应 
管 包 等 于 B 向 A 发 送 数据 包 的 序列 号 加 1。 此 时 主机 C 并 不 能 检测 到 主机 B 的 数据 包 ( 因 
为 不 在 同一 网 段 ), 只 有 利用 TCP 顺序 号 估算 法 来 预测 应 答 包 的 顺序 号 并 将 其 发 送 给 目标 
机 B。 如 果 猜 测 正确 ,B 则 认为 收 到 的 ACK 是 来 自 内 部 主机 A。 此 时 ,X 即 获得 了 主机 A 
在 主机 了 B 上 所 享有 的 特权 ,并 开始 对 这 些 服务 实施 攻击 。 

(2) 源 路 由 欺骗 攻击 。 

在 通常 情况 下 ,信息 包 从 起 点 到 终点 走 过 的 路 径 是 由 位 于 此 两 点 间 的 路 由 器 决定 的 , 数 
据 包 本 身 只 知道 去 往 何 处 ,但 不 知道 该 如 何 去 。 源 路 由 可 使 信息 包 的 发 送 者 将 此 数据 包 要 
经 过 的 路 径 写 在 数据 包 里 ,使 数据 包 循 着 一 个 对 方 不 可 预料 的 路 径 到 达 目 的 主机 。 下 面 仍 
以 上 述 源 IP 欺骗 中 的 例子 给 出 这 种 攻击 的 形式 。 

主机 A 享有 主机 B 的 某 些 特权 ,主机 C 想 冒 充 主机 A 从 主机 B( 假 设 IP 为 aaa. bbb. 
ccc. ddd) 获 得 某 些 服 务 。 首 先 ,攻击 者 修改 距离 C 最 近 的 路 由 器 ,使 得 到 达 此 路 由 器 且 包 含 
目的 地 址 aaa. bbb. ccc. ddd 的 数据 包 以 主机 C 所 在 的 网 络 为 目的 地 ; 然后 ,攻击 者 C 利用 
IP 欺骗 向 主机 B 发 送 源 路 由 (指定 最 近 的 路 由 器 ) 数 据 包 。 当 B 回 送 数据 包 时 ,就 传送 到 被 
更 改过 的 路 由 器 。 这 就 使 一 个 入 侵 者 可 以 假冒 一 个 主机 的 名 义 , 通 过 一 个 特殊 的 路 径 来 获 
得 某 些 被 保护 数据 。 

(3) ARP 欺骗 实例 。 

本 文 介绍 了 一 个 基于 Nemesis 的 LAN 发 包工 具 , 并 演示 了 LAN 上 ARP 攻击 的 几 种 
情况 。Nemesis 本 身 就 是 一 个 基于 命令 行 的 开源 发 包 程序 , 它 可 以 在 Windows 系统 上 运 
行 , 但 是 它 每 次 只 能 发 送 一 个 包 , 所 以 需要 编写 DOS 批 处 理 程 序 才能 让 它 连续 发 包 , 这 样 才 
能 进行 有 意义 的 攻击 。 

Nemesis 在 Sourceforge 上 的 主页 地 址 是 http://nemesis. sourceforge. net。 Nemesis 
使 用 WinPcap 3.0 提供 的 函数 库 进行 发 包 , 如 果 安 装 了 Ethereal 等 工具 ,可 能 计算 机 上 存 
在 WinPcap 的 较 高 版 本 ,这 时 必须 使 用 3.0 版 覆盖 较 新 的 版 本 。 

攻击 步骤 如 下 。 

@ 伪装 成 被 攻击 主机 广播 ARP 请 求 。 首 先 根据 LAN 的 实际 情况 编辑 conflict. bat 文 
件 ,本 文中 的 示例 假设 LAN 网 段 为 222. 88. 88. * ,网 关 地 址 为 222. 88. 88. 1 ,使 用 普通 的 
SOHO 路 由 器 。 双 击 conflict. bat 执行 攻击 ,其 中 Nemesis 命令 : 


nemesis arp 一 S 222.88.88.101 — h 00:34:67:88:2F:22 —D 222.88.88.1 — m00:00:00:00:00:00 -了 
payload. txt 一 M FF:FF:FF:FF:FF:FF — H 00:34:67:88:2F:22 
其 中 各 参数 的 意义 如 下 。 
-S 222. 88. 88. 101: ARP 请 求 中 的 源 IP 地 址 ,也 就 是 被 攻击 者 的 IP 地 址 。 
-h 00:34:67:88:2F:22: ARP 请 求 中 的 源 MAC 地 址 。 可 以 随便 伪造 一 个 MAC 地 址 。 
-D 222. 88. 88. 1: ARP 请 求 中 的 目的 IP 地址 。 可 以 随便 指定 一 个 IP 地 址 ,结果 都 会 
使 得 被 攻击 者 发 生 “IP 地 址 冲突 ”错误 。 但 是 如 果 指 定 成 网 关 的 地 址 ,还 会 更 新 网 关 的 ARP 组 
存 , 网 关 就 无 法 正确 将 数据 发 送 给 被 攻击 者 ,在 实际 测试 中 ,被 攻击 者 会 立刻 ping 不 通 网 关 。 
-m 00:00:00:00:00:00: ARP 请 求 中 的 目的 MAC 地 址 ,一 般 为 全 0。 
-P payload. txt: 从 payload. txt 中 读 取 payload 部 分 的 内 容 。 
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-M FF:FF:FF:FF:FF:FF: 2 层 包 头 的 目的 地 址 ,ARP 一 般 是 广播 地 址 。 

-H 00:34:67:88:2F:22: 2 层 包头 的 源 地 址 ,最 好 与 -h 中 指定 的 地 址 相同 ,这 样 可 以 使 
得 发 送 的 攻击 包 看 起 来 更 像 一 个 真实 的 ARP 请 求 包 。 

图 4-45 所 示 是 攻击 时 使 用 Ethereal 抓 取 的 数据 包 , 其 中 包括 伪装 ARP 请 求 和 网 关 
ARP 应 答 。 


Capturing from 本 地 连接 2 [Vireshark 1.11.2 (SYH Rev 53411 from /trunk)] 


Ele Edt Yew Go Capture Analyze Statstcs Telephony Iooks Internas Help 
人 @ 回 回回 4| 臣 加 部 国 | 4 四国 4| 国 是 | - 
rior | presson ce py save 


Source Destination Protocol | Length | InP 

192.168.0.1 239.255.255.250 SSDP 379 NOTIFY * HTTP/I.1 

192.168.0.1 239.255.255.250 SSDP 373 NOTIFY * HTTP/1.1 

Giga-Byt_06:b9:31 Broadcast ARP 60 who has 192.168.0.138? Te11 192.16; 
Giga-Byt_06:b9:31 Broadcast ARP 60 who has 192.168.0.138? Te11 192.161 
Giga-Byt_06:b9:31 Broadcast ARP 60 who has 192.168.0.138? Te11 192.16; 
192.168.0.12 239.255.255.250 SSDP 175 M-SEARCH ww HTTP/1.1 

192.168.0.12 239.255,255.250 SSDP 174 M-SEARCH “ HTTP/1.1 

192.168.0.12 239.255.255.250 SSDP 179 M-SEARCH * HTTP/1.1 ec 
407 1co wm 12 F320 ?ss ass 2sm cenn 147 wm cranru iu urrnm 1 


Frame 1: 243 bytes on wire (1944 bits), 243 bytes captured (1944 bits) on interface 0 

b Ethernet II，Src: Giga-Byt_c2:79:4e (94:de:80:c2:79:4e), Dst: Broadcast (ff:ff:ff:ff:ff:ff)7 

b Internet Protocol Version 4, src: 192.168.0.12 (192.168.0.12), Dst: 192.168.0.255 (192.168.0.2 
b User Datagram Protocol, Src Port: netbios-dgm C138), Dst Port: netbios-dgm C138) 

Db NetBIOS Datagram Service 


ry 


de B80 c2 79 4e 08 00 45 00 
0010 00 e5 51 f0 00 00 40 11 a5 bc c0 a8 00 Oc co a8 


0040 4a 43 4e 46 41 45 44 43 41 43 41 43 41 43 41 43 L 
0050 41 43 41 43 41 43 41 43 41 00 20 46 48 45 50 46 EF 


图 是 | 本 地 连接 2; <Iive capture in progress> ,.，| Packets; 66 ' Displayed: 66 (1,,，| Proflle: Default | 
图 4-45 ”Wireshark 抓 取 被 攻击 主机 请 求 数据 包 


@ 伪装 成 被 攻击 者 进行 ARP 应 答 。 此 攻击 在 i_am_the_other_guy. bat 中 实现 ,其 中 
的 Nemesis 命令 如 下 : 


nemesis arp 一 S 222.88.88.101 — h 00:44:44:AA:3B:4D —D 222.88.88.1 —m 00:14:78:89:7c:c4 -了 
payload. txt —r -M00:14:78:89:7c:c4 —H00:44:44:AA:3B:4D 


其 中 各 参数 的 意义 如 下 。 
-S 222. 88. 88. 101: 被 攻击 者 的 IP 地 址 。 
-h 00:44:44:AA:3B:4D: 伪造 的 被 攻击 者 的 MAC 地 址 。 
-D 222. 88. 88.1: 网 关 的 IP 地 址 。 
-m 00:14:78:89:7c:c4: 网 关 的 MAC 地 址 。 
-P payload. txt: 从 payload. txt 中 读 取 payload 部 分 的 内 容 。 
-r: 指定 nemesis 发 送 ARP 应 答 包 。 
-M 00:14:78:89:7c:c4: 网 关 的 MAC 地 址 ,与 -m 相同 。 
-H 00:44:44:AA:3B:4D: 伪造 的 被 攻击 者 的 MAC 地 址 ,与 -h 相同 。 
图 4-46 所 示 是 攻击 时 使 用 Wireshark 抓 取 的 数据 包 。 此 攻击 的 原理 依然 是 刷新 网 关 
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的 ARP 缓存 ,但 是 不 会 像 上 一 种 攻击 那样 在 LAN 中 发 广播 ,从 而 更 具有 隐蔽 性 。 

@ 伪装 成 网 关 进 行 ARP 应 答 。 此 攻击 在 i_am_router. bat 中 实现 ,其 中 的 Nemesis 命 
令 如 下 : 

nemesis arp —S 222.88.88.1 一 h 00:55:55:55:55:55 —D 222.88.88.101 —m 00:4E:4C:81:7D:E2 —P 

payload. txt —r — M00:4E:4C:81:7D:E2 —H 00:55:55:55:55:55 
其 中 各 参数 的 意义 如 下 。 

-S 222. 88. 88. 1: 网 关 的 IP 地 址 。 

-h 00:55:55:55:55:55: 随便 伪造 的 网 关 的 MAC 地 址 。 

-D 222. 88. 88. 101: 被 攻击 者 的 IP 地 址 。 

-m 00:4E:4C:81:7D:E2: 被 攻击 者 的 MAC 地 址 。 

-P payload. txt: 从 payload. txt 中 读 取 payload 部 分 的 内 容 。 

-r: 指定 nemesis 发 送 ARP 应 答 包 。 

-M 00:4E:4C:81:7D:E2: 被 攻击 者 的 MAC 地 址 ,与 -m 相同 。 

-H 00:55:55:55:55:55: 伪造 的 网 关 的 MAC 地 址 ,与 -h 相同 。 

图 4-46 是 攻击 时 使 用 Ethereal 抓 取 的 数据 包 。 实 际 测试 中 ,被 攻击 者 的 ARP 缓存 被 
立刻 刷新 ,网关 的 MAC 地 址 变 成 了 一 个 不 存在 的 地 址 ,从 而 无 法 与 网 关 通 信 。 
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图 4-46 ”Wireshark 抓 取 被 攻击 者 应 答 数据 包 


4) 拒绝 服务 攻击 和 分 布 式 拒绝 服务 攻击 

(1) 拒绝 服务 攻击 。 

拒绝 服务 攻击 (Denial of Service,DoS) 行 动 使 网 站 服务 器 充斥 大 量 要 求 回 复 的 信息 , 消 
耗 网 络 带 宽 或 系统 资源 ,导致 网 络 或 系统 不 胜 负荷 直至 瘫痪 而 停止 正常 的 网 络 服务 。 

拒绝 服务 攻击 建立 在 IP 地 址 欺骗 攻击 的 基础 上 。 最 常见 的 DoS 攻击 有 计算 机 网 络 带 
宽 攻 击 和 连通 性 攻击 。 带 宽 攻击 指 以 极 大 的 通信 和 量 冲击 网 络 , 使 得 所 有 可 用 网 络 资源 都 被 
消耗 殖 尽 ,最 后 导致 合法 用 户 请 求 无 法 通过 。 连 通 性 攻击 指 用 大 量 的 连接 请 求 冲 击 计算 机 ， 
使 得 所 有 可 用 的 操作 系统 资源 都 被 占用 ,最 终 计算 机 无 法 再 处 理 合法 用 户 的 请 求 。 
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拒绝 服务 攻击 有 多 种 分 类 方法 ,按照 人 侵 方式 可 以 分 为 资源 消耗 型 DoS 攻击 配置 修 
改 型 DoS 攻击 物理 破坏 型 DoS 攻击 和 服务 利用 型 DoS 攻击 。 

资源 消耗 型 DoS 攻击 : 资源 消耗 型 拒绝 服务 是 指 入 侵 者 试图 消耗 目标 的 合法 资源 , 例 
如 网 络 带 宽 、 内 存 、 硬 盘 空 间 和 CPU 利用 率 ,从 而 得 到 拒绝 服务 的 目的 。 

配置 修改 型 DoS 攻击 : 计算 机 配置 不 当 可 能 造成 系统 运行 不 正常 甚至 根本 不 能 运行 。 
入 侵 者 通过 修改 或 者 破坏 系统 的 配置 信息 来 阻止 其 他 合法 用 户 使 用 计算 机 和 网 络 提 供 的 服 
务 , 主 要 有 改变 路 由 信息 、 修 改 Windows 注册 表 、 修 改 Linux 的 各 种 配置 文件 。 

物理 破坏 型 DoS 攻击 : 物理 破坏 型 拒绝 服务 主要 针对 物理 设备 的 安全 ,入 侵 者 可 以 通 
过 破坏 或 改变 网 络 部 件 以 实现 拒绝 服务 。 

服务 利用 型 DoS 攻击 : 利用 入 侵 目 标的 自身 资源 实现 入 侵 意图 ,由 于 被 入 侵 系 统 具 有 
漏洞 和 通信 协议 的 弱点 ,这 给 入 侵 者 提供 了 机 会 。 入 侵 者 利用 TCP/IP 及 目标 责任 系统 自 
身 应 用 软件 中 的 一 些 漏洞 和 弱点 得 到 拒绝 服务 的 目的 。 

常见 的 DoS 攻击 方式 : 

@ SYN Flood。 该 攻击 以 多 个 随机 的 源 主机 地 址 向 目的 主机 发 送 SYN 包 , 而 在 收 到 
目的 主机 的 SYN ACK 后 并 不 回应 ,这 样 ,目的 主机 就 为 这 些 源 主机 建立 了 大 量 的 连接 队 
列 , 而 且 由 于 没有 收 到 ACK 一 直 维 护 着 这 些 队 列 ,造成 了 资源 的 大 量 消耗 而 不 能 向 正常 请 


求 提供 服务 ,如 图 4-47 所 示 。 
攻击 机 © 
< SYN+ 


图 4-47 SYN Flood 攻击 


@ Smurf。 该 攻击 向 一 个 子 网 的 广播 地 址 发 一 个 带 有 特定 请 求 (如 ICMP 回应 请 求 ) 的 
包 ,并 且 将 源 地 址 伪装 成 想 要 攻击 的 主机 地 址 。 子 网 上 所 有 主机 都 回应 广播 包 请 求 而 向 被 
攻击 主机 发 包 ,使 该 主机 受到 攻击 ,如 图 4-48 所 示 。 


Web 服 务 器 


受 攻击 目标 
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@ Ping of Death。 根 据 TCP/IP 的 规范 ,一 个 包 的 长 度 最 大 为 65 536 字 节 。 尽 管 一 个 
包 的 长 度 不 能 超过 65 536 字 节 ,但 是 一 个 包 分 成 的 多 个 片段 的 和 至 加 却 能 做 到 。 当 一 个 主机 
收 到 了 长 度 大 于 65 536 字 节 的 包 时 ,就 是 受到 了 Ping of Death 攻击 ,该 攻击 会 造成 主机 的 
客机 。 

(2) 分 布 式 拒绝 服务 攻击 。 

分 布 式 拒绝 服务 攻击 (Distributed DoS,DDoS) 是 在 传统 的 DoS 攻击 基础 之 上 产生 的 一 
类 攻击 方式 ,DDoS 针对 计算 机 与 网 络 高 处 理 能 力 , 利 用 更 大 规模 的 佛 介 机 (肉鸡 ?攻击 目标 
主机 ,使 得 攻击 者 佛 介 机 可 以 分 布 在 更 大 的 范围 .更 远 的 地 方 或 其 他 的 城市 ,是 目前 黑客 经 
常 采用 而 难以 防范 的 攻击 手段 。 下 面 的 例子 中 ,结合 Syn Flood 实例 对 DDoS 攻击 运行 原 
理 做 一 个 形象 说 明 。 

一 个 比较 完善 的 DDoS 攻击 体系 分 为 四 大 部 分 (如 图 4-49 所 示 ) ,最 重要 的 第 2 第 3 部 
分 分 别 用 于 控制 和 实际 发 起 攻击 ,第 2 部 分 控制 机 只 发 布 命 令 而 不 参与 实际 攻击 ,第 3 部 分 
倪 偶 机 发 出 实际 流量 包 攻击 第 4 部 分 受害 者 。 黑 客 对 第 2、 第 3 部 分 计算 机 有 控制 权 或 部 
分 控制 权 , 并 把 相应 的 DDoS 程序 部 署 在 这 些 平台 上 ,DDoS 程序 与 正常 程序 一 样 运 行 并 等 
待 黑客 的 指令 ,通常 还 会 利用 各 种 手段 隐藏 自己 不 被 别人 发 现 。 


攻击 便 像 机 


攻击 伐 偶 机 


控制 俐 伪 机 


© 


攻击 侯 仿 机 


攻击 借 偶 机 


图 4-49 ”DDoS 攻击 体系 原理 


正常 情况 下 ,这 些 倪 偶 机 没有 什么 异常 ,一 旦 黑客 控制 它们 并 发 出 指令 ,攻击 倪 偶 机 发 
起 攻击 受害 者 。 为 什么 黑客 不 直接 控制 攻击 倪 儒 机 ,而 从 控制 便 偶 机 上 转 一 下 呢 ? 这 是 
DDoS 攻击 难以 追查 的 原因 之 一 。 从 攻击 者 的 角度 来 说 ,使 用 的 佛 偶 机 越 多 ,提供 给 受害 者 
的 分 析 依 据 就 越 多 。 高 水 平 攻击 者 在 占领 一 台 机 器 后 ,首先 做 好 两 件 事 : 如 何 留 好 后 门 ; 
如 何 清 理 日 志 。 

在 第 3 部 分 攻击 佛 偶 机 上 清理 日 志 是 一 项 庞大 的 工程 .即使 有 日 志清 理工 具 的 帮助 , 黑 
客 对 这 个 任务 也 很 头痛 。 这 直接 导致 有 些 攻击 机 日 志清 理 不 彻底 ,通过 它 找 到 上 一 级 控制 
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货 偶 机 ,如 果 控 制 侧 偶 机 是 黑客 自己 的 机 器 .就 会 被 批 出 来 ; 如 果 控 制 侧 偶 机 是 其 他 机 器 ， 
黑客 自身 还 是 安全 的 。 控 制 侧 偶 机 数目 相对 很 少 ,一 台 可 以 控制 几 十 台 攻 击 机 ,清理 一 台 控 
制 便 偶 机 日 志 对 黑客 来 讲 轻松 很 多 ,这 样 从 控制 佛 偶 机 找到 黑客 的 可 能 性 大 大 降低 。 

被 攻击 主机 上 有 大 量 等 待 的 TCP 连接 ,网 络 中 充斥 着 大 量 的 无 用 数据 包 , 如 假 源 地 址 、 
高 流量 无 用 数据 造成 网 络 拥塞 ,使 受害 主机 无 法 正常 与 外 界 通 信 , 利 用 受害 主机 提供 服务 或 
传输 协议 的 缺陷 ,反复 高 速 发 出 特定 的 服务 请 求 ,使 受害 主机 无 法 及 时 处 理 所 有 正常 请 求 ， 
造成 系统 死机 。 

5) SQL 注入 攻击 

在 动态 网 站 的 开发 中 ,最 容易 忽略 的 安全 问题 就 是 SQL 注入 (SQL Injection ) 漏洞 问 
题 。 相 当 大 一 部 分 程序 员 在 编写 代码 的 时 候 , 没 有 对 用 户 输入 数据 的 合法 性 进行 判断 ,使 得 
应 用 程序 存在 安全 隐患 。NBSI(NB SQL Injection) 是 一 款 网 站 漏洞 检测 工具 ,在 SQL 注入 
检测 方面 有 极 高 的 准确 率 。SQL 注入 是 一 种 漏洞 ,一 种 攻击 方法 。 攻 击 原理 就 是 利用 用 户 
提交 或 可 修改 的 数据 ,把 想 要 的 SQL 语句 插入 到 系统 实际 SQL 语句 中 , 轻 则 获得 敏感 的 信 
息 , 重 则 控制 服务 器 。 

黑客 通过 SQL 注入 攻击 获得 网 站 数据 库 的 访问 权限 ,窃取 网 站 数据 库 中 所 有 数据 , 甚 
至 恶意 黑客 通过 SQL 注入 功能 算 改 数据 库 中 的 数据 .毁坏 数据 库 中 的 数据 。 作 为 网 络 开发 
者 ,有 必要 了 解 SQL 注入 功能 原理 ,学 会 如 何 通 过 代码 来 保护 自己 的 网 站 数据 库 。SQL 注 
和 人 的 方式 有 多 种 ,本文 以 PHP 和 MySQL 数据 库 为 例 ,介绍 SQL 注入 攻击 基本 原理 、 简 单 
的 防范 措施 以 及 如 何 避 免 SQL 注入 攻击 。 

SQL 注入 是 利用 网 站 代码 漏洞 来 获取 网 站 或 应 用 程序 后 台 的 SQL 数据 库 的 访问 权 
限 ,进而 可 以 取得 数据 库 所 有 的 数据 信息 。 拿 到 数据 库 管理 员 登 录用 户 名 和 密码 后 ,黑客 可 
以 自由 修改 数据 库 中 的 内 容 甚至 删除 该 数据 库 。SQL 注入 可 以 用 来 检验 一 个 网 站 或 应 用 
的 安全 性 。 

假如 一 个 公司 网 站 ,在 网 站 后 台数 据 库 中 保存 了 所 有 客户 数据 等 重要 信息 。 网 站 登录 
页 面 的 代码 中 有 这 样 一 条 命令 来 读 取 用 户 信息 : 

<? 

$q = "SELECT 'id' FROM 'users'WHERE 'username'= ' 


" .$_GET['username']. " 'AND 'password'= '" .$ _GET['password’]. " '"; 
?> 


有 黑客 想 攻击 数据 库 , 会 尝试 在 登录 页 面 的 用 户 名 输入 框 中 输入 以 下 代码 : 

7 SHOW TABLES; 

单 击 “登录 ?按钮 ,这 个 页 面 会 显示 数据 库 中 的 所 有 表 。 如 果 黑 客 使 用 下 面 这 行 命令 : 

;DROP TABLE [table name]; 
这 样 黑客 就 把 一 张 表 删除 了 ! 

这 只 是 一 个 很 简单 的 例子 ,实际 的 SQL 注入 方法 很 复杂 。 了 解 了 SQL 注入 攻击 的 基 
本 原理 ,下 一 步 介 绍 如何 防 范 SQL 注入 攻击 。 

(1) 防范 SQL 注入 ,使 用 mysql_real_escape_string() 函 数 。 

在 数据 库 操作 代码 中 ,用 函数 mysql_real_escape_string() 可 以 将 代码 中 特殊 字符 过 滤 
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掉 , 如 引号 等 。 如 下 例 : 


<? 

$q=" SELECT 'id' FROM 'users' WHERE 'username' = '" .mysql _ real escape string 

($_GET[ 'username']). " 'AND'password '= '" .mysql real escape string( $ _GET[ 'password']). " '"; 
PY 


(2) 防范 SQL 注入 ,使 用 mysql_query( 〇 函数 。 

mysql_query() 的 特点 ,是 它 只 执行 SQL 代码 的 第 一 条 ,后 面 的 不 会 执行 。 上 面 的 例子 
中 ,黑客 通过 代码 实例 在 后 台 执行 多 条 SQL 命令 ,显示 所 有 表 的 名 称 。 所 以 mysql_query() 函 
数 可 以 起 到 进一步 保护 作用 。 进 一 步 演 化 刚才 的 代码 就 得 到 了 下 面 的 代码 : 

<? 

//connection 

$ database = mysql connect("localhost", "username","password"); 

//db selection 

mysql_select_db("database", $ database); 

$q= mysql_query("SELECT 'id' FROM "users' WHERE 'username '= ' 

".mysql_real escape string( $ _GET[ 'username']). " 'AND' password '= 

" .mysql_real escape string( $ _GET[ 'password']). " '", $ database); 

?> 

除 此 之 外 ,还 可 以 在 PHP 代码 中 判断 输入 值 的 长 度 ,或 专门 用 一 个 函数 来 检查 输入 
值 。 所 以 在 接收 用 户 输 入 值 的 地 方 一 定做 好 输入 内 容 的 过 滤 和 检查 ,了 解 最 新 的 SQL 注入 
方式 非常 重要 ,这 样 才能 做 到 有 目的 地 防范 SQL 注入 攻击 。 

6) 网 络 蠕虫 攻击 

蠕虫 病毒 和 一 般 的 计算 机 病毒 有 着 很 大 的 区 别 。 对 于 蠕虫 ,现在 还 没有 一 个 成 套 的 理 
论 体 系 。 一 般 认为 : 蠕虫 病毒 是 一 种 通过 网 络 传 播 的 恶性 病毒 , 它 除 具有 病毒 的 一 些 共 
性 一 一 传播 性 、 隐 藏 性 、 破 坏 性 等 ,同时 具有 自己 的 一 些 特征 ,如 不 利用 文件 寄生 (有 的 只 存 
在 于 内 存 中 ) ,对 网 络 造成 拒绝 服务 ,以 及 与 黑客 技术 相 结 合 等 。 

根据 使 用 者 情况 将 蠕虫 病毒 分 为 两 类 : 一 种 是 面向 企业 用 户 和 局 域 网 而 言 ,这 种 病毒 
利用 系统 漏洞 ,主动 进行 攻击 ,可 以 对 整个 互联 网 造成 瘫痪 性 的 后 果 。 以 “红色 代码 ”“ 尼 姆 
达 ” 以 及 最 新 的 “SQL 蠕虫 王 ? 为 代表 。 另 外 一 种 是 针对 个 人 用 户 的 ,通过 网 络 (主要 是 电子 
邮件 、 恶 意 网 页 形式 ) 迅 速 传 播 的 蠕虫 病毒 ,以 爱 虫 病毒 ,求职 信 病 毒 为 代表 。 在 这 两 类 蠕虫 
中 ,第 一 类 具有 很 大 的 主动 攻击 性 ,而 且 爆 发 也 有 一 定 的 突然 性 ,但 相对 来 说 , 查 杀 这 种 病毒 
并 不 是 很 难 。 第 二 种 病毒 的 传播 方式 比较 复杂 和 和 多样, 少数 利用 了 微软 的 应 用 程序 的 漏洞 ， 
更 多 的 是 利用 社会 工程 学 对 用 户 进行 欺骗 和 诱 使 ,这 样 的 病毒 造成 的 损失 是 非常 大 的 ,同时 
也 是 很 难 根 除 的 ,比如 求职 信 病 毒 ,在 2001 年 就 已 经 被 各 大 杀毒 厂商 发 现 ,但 直到 2002 年 
底 依然 排 在 病毒 危害 排行 榜 的 首位 就 是 证 明 。 

蠕虫 一 般 不 采取 利用 pe 格式 插入 文件 的 方法 ,而 是 复制 自身 在 互联 网 环境 下 进行 传 
播 ,病毒 的 传染 能 力主 要 是 针对 计算 机 内 的 文件 系统 而 言 ,而 蠕虫 病毒 的 传染 目标 是 互联 网 
内 的 所 有 计算 机 。 局 域 网 条 件 下 的 共享 文件 夹 , 电 子 邮 件 E-mail, 网 络 中 的 恶意 网 页 ,大 量 
存在 着 漏洞 的 服务 器 等 都 成 为 蠕虫 传播 的 良好 途径 。 网 络 的 发 展 也 使 得 蠕虫 病毒 可 以 在 几 
个 小 时 内 蔓延 全 球 ,而 且 蠕 虫 的 主动 攻击 性 和 突然 爆发 性 将 使 得 人 们 束手无策 。 
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7) 木马 攻击 

(1) 木马 概念 。 

特洛伊 木马 (Trojan Horse) 简称 木马 ,据说 这 个 名 称 来 源 于 希腊 神话 《木马 屠城 记 》。 
古 希 腊 传 说 ,特洛伊 王子 帕 里 斯 访问 希腊 , 诱 走 了 王后 海伦 ,希腊 人 因此 远征 特洛伊 。 围 攻 
9 年 后 ,到 第 10 年 ,希腊 将 领 奥 德 修 斯 献 了 一 计 , 就 是 把 一 批 勇士 埋伏 在 一 匹 巨 大 的 木马 腹 
内 , 放 在 城 外 后 , 伴 作 退兵 。 特 洛 伊人 以 为 敌 兵 已 退 , 就 把 木马 作为 战利品 搬入 城中 。 到 了 
夜间 ,埋伏 在 木马 中 的 勇士 跳出 来 ,打开 了 城 门 ,希腊 将 士 一 拥 而 人 攻 下 了 城池 。 后 来 ,人 们 
在 写 文 章 时 就 常用 “特洛伊 木马 ”这 一 典故 ,用 来 比喻 在 敌 方 营 件 里 埋 下 伏兵 里 应 外 合 的 活 
动 。 应 用 于 计算 机 领域 ,木马 比喻 埋伏 在 别人 的 计算 机 里 , 偷 取 对 方 机 密 信息 的 程序 。 

(2) 木马 原理 。 

木马 一 般 是 客户 端 /服务 端 (Client/Server,C/S) 模 式 ,客户 端 /服务 端 之 间 采 用 TCP/ 
UDP 的 通信 方式 。 如 果 要 给 别人 计算 机 上 植 入 木马 , 则 受害 者 一 方 运行 的 是 服务 器 端 程 
序 , 而 自己 使 用 的 是 客户 端 来 控制 受害 者 机 器 。 

木马 是 一 种 基于 远程 控制 的 黑客 工具 ,具有 隐藏 性 和 非 授权 性 的 特点 。 所 谓 隐藏 性 是 
指 服务 端 即 使 发 现 感染 了 木马 ,由 于 不 确定 其 具体 位 置 , 往 往 只 能 望 “ 马 ”兴叹 。 所 谓 非 授 权 
性 ,是 指 一 旦 客户 端 与 服务 端 连接 后 ,客户 端 将 享有 服务 端的 大 部 分 操作 权限 ,包括 修改 文 
件 , 修 改 注册 表 , 控 制 鼠标 、 键 盘 等 ,这 些 权 力 不 是 服务 端 赋予 的 ,而 是 通过 木马 程序 穷 取 的 。 
一 旦 木马 程序 被 植 入 到 毫 不 知情 的 用 户 的 计算 机 中 ,以 “里 应 外 合 ” 的 工作 方式 ,服务 程序 通 
过 打开 特定 的 端口 并 进行 监听 ,这 些 端口 好 像 * 后 门 ” 一 样 ,所 以 ,也 有 人 把 特洛伊 木马 叫做 
后 门 工 作 。 攻 击 者 所 掌握 的 客户 端 程序 向 该 端口 发 出 请 求 (Connect Request) ,木马 便 与 其 
连接 起 来 。 攻 击 者 可 以 使 用 控制 器 进入 计算 机 ,通过 客户 端 程序 命令 达到 控制 服务 器 端的 
目的 。 木 马 一 般 工 作 模式 如 图 4-50 所 示 。 
打开 特定 端口 


木马 
Client 端 木马 
获得 连接 SS 人 
攻击 者 控制 pa 被 控制 端 


图 4-50 木马 工作 模式 


一 个 完整 的 木马 系统 由 硬件 部 分 、 软 件 部 分 和 具体 连接 部 分 组 成 。 

硬件 部 分 : 建立 木马 连接 所 必需 的 硬件 实体 。 控 制 端 对 服务 端 进行 远程 控制 的 一 
方 。 服 务 端 : 被 控制 端 远 程控 制 的 一 方 。Internet: 控制 端 对 服务 端 进行 远程 控制 ,是 数据 
传输 的 网 络 载体 。 

软件 部 分 : 实现 远程 控制 所 必需 的 软件 程序 。 控 制 端 程序 : 控制 端 用 以 远程 控制 服务 
端的 程序 。 木 马 程序 : 潜入 服务 端 内 部 ,获取 其 操作 权限 的 程序 。 木 马 配置 程序 : 设置 森 
马 程序 的 端口 号 、 触 发 条 件 、 木 马 名 称 等 ,使 其 在 服务 端 藏 得 更 隐蔽 的 程序 。 

具体 连接 部 分 : 通过 Internet 在 服务 端 和 控制 端 之 间 建 立 一 条 木马 信道 所 必需 的 元 
素 。 控 制 端 了 P、 服 务 端 IP: 控制 端 服 务 端 的 网 络 地 址 ,也 是 木马 进行 数据 传输 的 目的 地 。 
控制 端 端 口 、 木 马 端口 : 即 控制 端 \ 服 务 端 的 数据 入 口 .通过 这 个 入 口 ,数据 可 直达 控制 端 程 
序 或 木马 程序 。 
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(3) 木马 攻击 原理 。 

黑客 使 用 木马 工具 入 侵 网 络 , 从 过 程 上 看 可 分 为 六 步 : 配置 木马 .传播 木 马 、 运 行 木 马 、 
泄露 信息 、 建 立 连 接 、 远 程控 制 。 

Q@ 配置 木马 。 

一 般 来 说 一 个 设计 成 熟 的 木马 都 有 木马 配置 程序 ,从 具体 的 配置 内 容 看 ,主要 是 为 了 实 
现 以 下 两 方面 功能 。 木 马 伪 装 : 木马 配置 程序 为 了 在 服务 端 尽 可 能 好 地 隐藏 木马 ,会 采用 
多 种 伪装 手段 ,如 修改 图 标 、 捆 绑 文 件 、 定 制 端口 、 自 我 销毁 、 木 马 更 名 等 。 信 息 反 馈 : 木马 
配置 程序 将 就 信息 反馈 的 方式 或 地 址 进行 设置 ,如 设置 信息 反馈 的 邮件 地 址 、IRC 号 、ICQ 
号 等 。 

@ 传播 木马 。 

木马 的 传播 方式 主要 有 两 种 : 一 种 是 通过 E-mail, 控 制 端 将 木马 程序 以 附件 的 形式 夹 
在 邮件 中 发 送出 去 , 收 信 人 只 要 打开 附件 系统 就 会 感染 木马 ; 另 一 种 是 软件 下 载 , 一 些 非 正 
规 的 网 站 以 提供 软件 下 载 为 名 义 ,将 木马 捆绑 在 软件 安装 程序 上 ,下 载 后 ,只 要 一 运行 这 些 
程序 ,木马 就 会 自动 安装 。 

@ 运行 木马 。 

服务 端 用 户 运行 木马 或 捆绑 木马 的 程序 后 ,木马 就 会 自动 进行 安装 。 首 先 将 自身 复制 
到 Windows 的 系统 文件 夹 中 (C:\WINDOWS 或 C: \WINDOWS\SYSTEM 目录 下 )。 然 
后 在 注册 表 、 启 动 组 、 非 启动 组 中 设置 好 木马 的 触发 条 件 , 木 马 安装 完成 ,就 可 以 启动 木 
马 了 。 

触发 条 件 激活 木马 是 指 启动 木马 的 条 件 ,大 致 出 现在 下 面 儿 个 地 方 。 

注册 表 : 打开 HKEY_LOCAL _MACHINE\Software\Microsoft\Windows\CurrentVersion\ 
下 的 Run 和 RunServices 主键 ,在 其 中 寻找 可 能 是 启动 木马 的 键 值 。 

打开 HKEY_CLASSES_ROOT\ 文 件 类 型 \shell\open\command 主键 ,查看 其 键 值 。 
举 个 例子 ,国产 木马 “冰河 ”就 是 修改 HKEY_CLASSES_ROOT\txtfile\ shell\ open\ 
command 下 的 键 值 ,将 “C:\ WINDOWS\NOTEPAD. EXE %1” 改 为 *C:\WINDOWS\ 
SYSTEM\SYSEXPLR. EXE %1”, 双 击 一 个 TXT 文件 后 ,原本 应 用 NOTEPAD 打开 文 
件 , 变 成 启动 木马 程序 。 除 了 TXT 文件 ,通过 修改 HTML、EXE、ZIP 等 文件 的 启动 命令 键 
值 都 可 以 启动 木马 ,不 同 之 处 只 在 于 “文件 类 型 "这 个 主键 的 差别 ,TXT 是 txtfile、ZIP 是 
WINZIP。 

WIN.INI: C:\WINDOWS 目录 下 有 一 个 配置 文件 win. ini, 用 文本 方式 打开 ,在 
Windows 字段 中 有 启动 命令 load 王 和 run= ,一 般 情 况 下 是 空白 ,如 果 有 启动 程序 ,可 能 是 
木马 。 

SYSTEM. INI: C:\WINDOWS 目录 下 有 个 配置 文件 system. ini, 用 文本 方式 打开 ,在 
386Enh .mic drivers32 中 有 命令 行 , 在 其 中 寻找 木马 的 启动 命令 。 

Autoexec. bat 和 Config. sys: 在 C 盘 根 目录 下 这 两 个 文件 可 以 启动 木马 。 这 种 加 载 方 
式 一 般 都 需要 控制 端 用 户 与 服务 端 建立 连接 .将 已 添加 木马 启动 命令 同名 文件 上 传 服务 端 
覆盖 这 两 个 文件 才 行 。 

x .INI: 应 用 程序 的 启动 配置 文件 ,控制 端 利 用 这 些 文件 能 启动 程序 的 特点 ,将 制作 好 
的 带 有 木马 启动 命令 的 同名 文件 上 传 到 服务 端 覆盖 这 个 同名 文件 ,就 可 以 启动 木马 了 。 
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捆绑 文件 : 实现 这 种 触发 条 件 首先 要 控制 端 和 服务 端 通过 木马 建立 连接 ,然后 控制 端 
用 户 用 工具 软件 将 木马 文件 和 某 一 应 用 程序 捆绑 在 一 起 ,然后 上 传 到 服务 端 履 盖 原 文件 ,这 
样 即 使 木马 被 删除 了 ,只 要 运行 捆绑 了 木马 的 应 用 程序 ,木马 又 会 被 安装 上 去 了 。 

木马 被 激活 后 ,进入 内 存 .开启 事先 定义 的 木马 端口 ,准备 与 控制 端 进行 连接 。 可 以 
通过 进入 MS-DOS 方式 下 ,用 netstat 命令 的 -a、-n 查看 端口 的 状态 确认 是 否 有 可 疑 端口 
开放 ,进一步 判断 是 否 感染 木马 。 电 脑 感染 木马 后 ,用 NETSTAT 命令 查看 端口 的 两 个 
实例 : 服务 端 与 控制 端 建立 连接 时 的 显示 状态 ; 服务 端 与 控制 端 还 未 建立 连接 时 的 显示 

在 上 网 过 程 中 下 载 软件 \ 网 上 聊天 等 必然 打开 一 些 常用 端口 。1 一 1024 之 间 的 端口 : 
保留 端口 是 专 给 一 些 对 外 通信 的 程序 用 的 ,如 FTP 使 用 21，SMTP 使 用 25 等 。1025 以 上 
的 连续 端口 : 在 上 网 浏览 网 站 时 ,浏览 器 会 打开 多 个 连续 的 端口 下 载 文 字 、 图 片 到 本 地 硬盘 
上 ,这 些 端 口 都 是 1025 以 上 的 连续 端口 。4000 端口 : 这 是 OICQ 的 通信 端口 。6667 端口 : 
这 是 IRC 的 通信 端口 。 除 上 述 端口 ,如 发 现 还 有 其 他 端口 打开 ,就 要 怀疑 是 否 感 染 了 木马 。 

@ 泄露 信息 。 

一 般 来 说 ,设计 成 熟 的 木马 都 有 一 个 信息 反馈 机 制 。 所 谓 信 息 反馈 机 制 是 指 木马 成 功 
安装 后 会 收集 一 些 服务 端 的 软 硬 件 信息 .并 通过 E-mail,IRC 或 ICO 的 方式 告知 控制 端 
用 户 。 

@ 建立 连接 。 

一 个 木马 连接 的 建立 首先 必须 满足 两 个 条 件 : 一 是 服务 端 已 安装 了 木马 程序 ; 二 是 控 
制 端 ,服务 端 都 要 在 线 。 在 此 基础 上 控制 端 可 以 通过 木马 端口 与 服务 端 建立 连接 。 

远程 控制 。 

木马 连接 建立 后 ,控制 端 端口 和 木马 端口 之 间 将 会 出 现 一 条 通道 ,控制 端 上 的 控制 端 程 
序 可 借 这 条 信道 与 服务 端 上 的 木马 程序 取得 联系 ,并 通过 木马 程序 对 服务 端 进行 远程 控制 。 
控制 端 具 体能 享有 以 下 控制 权限 。 窃 取 密 码 : 一 切 以 明文 的 形式 、x 形式 或 缓存 在 Cache 
中 的 密码 都 能 被 木马 侦 测 到 ,此 外 很 多 木马 还 提供 有 击 键 记录 功能 , 它 将 会 记录 服务 端 每 次 
敞 击 键盘 的 动作 ,所 以 一 旦 有 木马 入 侵 , 密 码 将 很 容易 被 窃取 。 文 件 操作 : 控制 端 可 借 由 远 
程控 制 对 服务 端 上 的 文件 进行 删除 .新建 、 修 改 .上 传 、 下 载 ,运行 .更改 属性 等 一 系列 操作 ， 
基本 涵盖 了 Windows 平台 上 所 有 的 文件 操作 功能 。 修 改 注 册 表 : 控制 端 可 任意 修改 服 
务 端 注册 表 ,包括 删除 .新 建 或 修改 主键 . 子 键 、 键 值 。 有 了 这 项 功能 ,控制 端 就 可 以 禁止 
服务 端 软 驱 .光驱 的 使 用 , 锁 住 服务 端的 注册 表 ,将 服务 端 上 木马 的 触发 条 件 设置 为 更 隐 
蔽 的 一 系列 高 级 操作 。 系 统 操 作 : 这 项 内 容 包 括 重启 或 关闭 服务 端 操 作 系统 , 断 开 服务 
端 网 络 连接 ,控制 服务 端的 鼠标 、 键 盘 ,监视 服务 端 桌 面 操作 ,查看 服务 端 进程 等 ,控制 端 
甚至 可 以 随时 给 服务 端 发 送信 息 ,想象 一 下 , 当 服 务 端的 桌面 上 突然 跳出 一 段 话 ,不 吓人 
一 跳 才 怪 。 

(4) 冰河 木马 实例 。 

冰河 木马 由 两 个 应 用 程序 组 成 : G_Server. exe 和 G_Client. exe。G_Server. exe 为 被 监 
控 端 后 台 监 控 程 序 ,在 安装 前 可 以 先 通 过 G_Client 配置 本 地 服务 器 程序 功能 进行 一 些 特殊 
配置 ,如 是 否 将 动态 IP 发 送 到 指定 信箱 ,改变 监听 端口 与 设置 .访问 口令 等 。G_Client. exe 
是 监控 端 执 行程 序 , 用 于 监控 计算 机 和 配置 服务 器 程序 。 
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安装 好 服务 器 端 监控 程序 G_Server. exe 后 ,运行 客户 端 程序 G_Client. exe 就 可 以 对 远 
程 计算 机 进行 监控 了 ,客户 端 执行 程序 的 各 模块 功能 如 下 : 

添加 主机 : 将 被 监控 端 IP 地 址 添加 至 主机 列表 ,同时 设置 好 访问 口令 及 端口 ,设置 将 
保存 在 Operate. ini 文件 中 ,以 后 不 必 重 输 。 如 果 需 要 修改 设置 ,可 以 重新 添加 该 主机 ,或 在 
主 界面 工具 栏 内 重新 输入 访问 口令 及 端口 并 保存 设置 。 

删除 主机 : 将 被 监控 端 IP 地 址 从 主机 列表 中 删除 (相关 设置 也 将 同时 被 清除 ) 。 

自动 搜索 : 搜索 指定 子 网 内 安装 有 “冰河 ”的 计算 机 。 例 如 欲 搜索 IP 地 址 192. 168. 3.1 
至 192. 168. 3. 255 网 段 的 计算 机 ,应 将 “起 始 域 ” 设 为 192. 168. 3, 将 “起 始 地 址 ”和 “终止 地 
址 ”分 别 设 为 1 和 255, 如 图 4-51 所 示 。 


图 4-51 自动 搜索 指定 域 中 计算 机 


另外 ,通过 控制 台 的 “控制 类 命令 ”可 以 查看 屏幕 .屏幕 控制 .远程 配置 修改 和 本 地 服务 
器 配置 。 

“文件 管理 器 ?对 文件 操作 提供 了 下 列 鼠 标 操作 功能 : 文件 上 传 , 文 件 下 载 . 打 开 远 程 或 
本 地 文件 、 删 除 文件 或 目录 、 新 建 目录 文件 查找 、 复 制 整个 目录 等 。 

“命令 控制 台 ” 包 括 多 类 命令 : 口令 类 、 控 制 类 、 网 络 类 文件 类 ,设置 类 和 注册 表 读 写 。 

口令 类 命令 : 包括 系统 信息 及 口令 、 历 史 口 令 、 击 键 记录 ,图 4-52 显示 了 “系统 信息 及 
口令 ”的 有 关内 容 。 

控制 类 命令 : 捕获 屏幕 发送 信息 、 进 程 管理 .窗口 管理 .鼠标 控制 .系统 控制 和 其 他 控 
制 等 。 图 4-53 显示 进程 管理 的 相关 信息 。 

网 络 类 命令 : 创建 共享 删除 共享 .查看 网 络 信息 。 图 4-54 显示 创建 共享 连接 信息 。 

文件 类 命令 : 目录 增删 、 文 本 浏览 文件 查找 ,压缩 、 复 制 , 移 动 、 上 传 .下载 . 删 除 、 打 开 ; 
注册 表 读 写 : 注册 表 键 值 读 写 、 重 命名 、 主 键 浏览 , 读 写 、 重 命名 ; 设置 类 命令 : 更 换 墙 纸 、 更 
改 计算 机 名 、 读 取 服 务 器 端 配 置 .在线 修 改 服务 器 配置 。 
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HE ES ”设置 [G] 帮助 


胞 和 驴 里 加 年 本 曙 击 名 了 


当前 连接 : | 192. 168.3.28 =] WO: es 访问 口令 : _ 诡 用 加 | 


Fe 

Yindows NT 

C: ‘WINDOYS\ 

C: ‘TINDOYS\systen32\ 

C: \DOCWMIE 1 \ADATNT “1 \LDCALS“1\Tenp\ 
SoftT26 


2T49. 9479980465TI 
2T781.50758835936H 


1997_339111326138 
1452. 05906203125M 


1052. 803100585944 
1049.971679687SH 


4190. 7407226562SN 
4190.7324216875M 


ea 
| 


开机 口令 模 存 口令 ED 


图 4-52 系统 信息 及 口令 


[2 | 


FNL 


当前 连接 : [sz 168.3.28 。。 二] 端口: Res 访问 口令: | 应 用 [8 


终止 进程 


图 4-53 ”进程 管理 信息 
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EREJ 本 攀 [ 可 Dj 


训 囊 多 里 曙 生 加 加 直人 名 有 


当前 连接 : [192.165.3B 二 | 入 :ew WD$S:[ 应 用 [8 


[CiceroVIYndFr ne 
THOR MAIN YINDOW 
ICiceroUIYndFr ne 

CicereUTYndprane 国 


WG: pvzw 
xs 


图 4-54 创建 共享 连接 信息 


“木马 清除 "通过 注册 表 手 工 可 以 处 理 。 打 开 注 册 表 Regedit, 单 击 目录 HKEY_ 
LOCAL_ MACHINE\SOFTWARE\Microsoft\ Windwos\CurrentVersion\Run, 查 找 以 下 
两 个 路 径 ,删除 : 

C:\WINDOWS\system32\kernel32. exe 

C:\WINDOWS\system32\sysexplr. exe 

关闭 Regedit, 重 新 启动 到 MS-DOS 方式 ,删除 C:\WINDOWS\system32\kernel32. 
exe 和 C:\WINDOWS\system32\sysexplr. exe。 查 看 注册 表 HKEY_LOCAL_MACHINE 
\SOFTWARE\Microsoft \Windwos\CurrentVersion\Run 和 HKEY_LOCAL_MACHINE 
\SOFTWARE\Microsoft\Windwos\Current Version\RunServices 两 项 。 删 除 可 疑 的 文件 
路 径 , 重 新 启动 到 MS-DOS 方式 ,删除 注册 表 对 应 的 木马 。 


4.3 网 络 安全 防范 


4.3.1 网 络 安全 策略 


网 络 安全 策略 是 对 网 络 安全 的 目的 、 期 望 和 目标 以 及 实现 它们 所 必须 运用 的 策略 的 论 
述 ,为 网 络 安全 提供 管理 方向 和 支持 ,是 一 切 网 络 安全 活动 的 基础 ,指导 企业 网 络 安全 结构 
体系 的 开发 和 实施 。 包 括 : 局 域 网 的 信息 存储 、 处 理 \ 传 输 技术 ; 保护 企业 所 有 的 信息 、 数 
据 、 文 件 和 设备 资源 的 管理 和 操作 手段 ; 确定 安全 管理 等 级 和 安全 管理 范围 ; 制定 有 关 网 
络 操作 使 用 规程 和 人 员 出 入 机 房管 理 制度 ; 制定 网 络 系统 的 维护 制度 和 应 急 措 施 。 计 算 机 
网 络 所 面临 的 威胁 大 体 可 分 为 两 种 : 一 是 对 网 络 中 信息 的 威胁 ; 二 是 对 网 络 中 设备 的 威 
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胁 。 在 网 络 安全 中 ,采取 强 有 力 的 安全 策略 ,对 于 保障 网 络 的 安全 性 是 非常 重要 的 。 

1. 物理 安全 策略 

物理 安全 策略 的 目的 是 保护 计算 机 系统 、 网 络 服务 器 、 打 印 机 等 硬件 实体 和 通信 和 链 路 免 
受 自然 灾害 、 人 为 破坏 和 搭 线 攻击 ,包括 安全 地 区 的 确定 、 物 理 安全 边界 、 物 理 安全 控制 \ 设 
备 安 全 、 防 电磁 辐射 等 。 

物理 接口 控制 是 指 安 全 地 区 应 该 通过 合适 的 入 口 控制 进行 保护 ,从 而 保证 只 有 合法 员 
工 可 以 访问 这 些 地 区 。 设 备 安全 是 为 了 防止 资产 的 丢失 破坏 ,防止 商业 活动 中 断 ,建立 完 
备 的 安全 管理 制度 ,防止 非法 进入 计算 机 控制 室 和 各 种 偷窃. 破坏 活动 的 发 生 。 抑 制 和 防止 
电磁 泄漏 ( 即 TEMPEST 技术 ) 是 物理 安全 策略 的 一 个 主要 问题 。 目 前 主要 防护 措施 有 两 
类 : 一 类 是 对 传导 发 射 的 防护 ,主要 采取 对 电源 线 和 信号 线 加 装 性 能 良好 的 滤波 器 , 减 小 传 
输 阻 抗 和 导线 间 的 交叉 耦合 。 另 一 类 是 对 辐射 的 防护 ,这 类 防护 措施 又 可 分 为 以 下 两 种 ， 
一 是 采用 各 种 电磁 屏蔽 措施 ,如 对 设备 的 金属 屏蔽 和 对 各 种 接 插件 的 屏蔽 ,同时 对 机 房 的 下 
水 管 .暖气 管 和 金属 门窗 进行 屏蔽 和 隔离 ; 二 是 对 干扰 的 防护 措施 , 即 在 计算 机 系统 工作 的 
同时 ,利用 干扰 装置 产生 一 种 与 计算 机 系统 辐射 相关 的 伪 噪 声 向 空间 辐射 来 掩盖 计算 机 系 
统 的 工作 频率 和 信息 特征 。 

2. 访问 控制 策略 

访问 控制 是 网 络 安全 防范 和 保护 的 主要 策略 , 它 的 主要 任务 是 保证 网 络 资源 不 被 非法 
使 用 和 非常 访问 。 它 也 是 维护 网 络 系统 安全 、 保 护 网 络 资源 的 重要 手段 。 各 种 安全 策略 必 
须 相互 配合 才能 真正 起 到 保护 作用 ,但 访问 控制 可 以 说 是 保证 网 络 安全 最 重要 的 核心 策略 
之 一 。 访 问 控制 包括 用 户 访问 管理 以 防止 未 经 授权 的 访问 ; 网 络 访问 控制 ,保护 网 络 服务 ， 
操作 系统 访问 控制 ,防止 未 经 授权 的 计算 机 访问 ; 应 用 系统 访问 控制 ,防止 信息 系统 中 信息 
的 未 经 授权 的 访问 ; 监控 对 系统 的 访问 和 使 用 ,探测 未 经 授权 的 行为 。 

3. 信息 加 密 策 略 

信息 安全 策略 是 要 保护 信息 的 机 密 性 、 真 实 性 和 完整 性 ,因此 应 对 敏感 或 机 密 数据 加 
密 。 信 息 加 密 过 程 是 由 形形色色 的 加 密 算法 来 具体 实施 的 , 它 以 很 小 的 代价 提供 很 大 的 安 
全 保护 。 在 多 数 情况 下 ,信息 加 密 是 保证 信息 机 密 性 的 唯一 方法 。 信 息 加 密 的 算法 是 公开 
的 ,其 安全 性 取决 于 密 钥 的 安全 性 ,应 建立 并 遵守 用 于 对 信息 进行 保护 的 密码 控制 的 使 用 策 
略 , 密 钥 管 理 基 于 一 套 标准 .过 程 和 方法 ,用 于 支持 密码 技术 的 使 用 。 信 息 加 密 的 目的 是 保 
护 网 内 的 数据 文件 .口令 和 控制 信息 ,保护 网 上 传输 的 数据 。 网 络 加 密 常用 的 方法 有 链 路 
加 密 .端点 加 密 和 节点 加 密 三 种 。 链 路 加 密 的 目的 是 保护 网 络 节点 之 间 的 链 路 信息 安全 ; 
端点 加 密 的 目的 是 对 源 端 用 户 到 目的 端 用 户 的 数据 提供 保护 ; 节点 加 密 的 目的 是 对 源 节点 
到 目的 节点 之 间 的 传输 链 路 提供 保护 。 

4. 网 络 安全 管理 策略 

网 络 的 安全 管理 策略 包括 : 确定 安全 管理 等 级 和 安全 管理 范围 ; 制定 有 关 网 络 操作 使 
用 规程 和 人 员 出 入 机 房管 理 制 度 ; 制定 网 络 系统 的 维护 制度 和 应 急 措 施 等 。 加 强 网 络 的 安 
全 管理 ,制定 有 关 规 章 制度 ,对 于 确保 网 络 的 安全 ,可靠 地 运行 ,将 起 到 十 分 有 效 的 作用 。 
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4.3.2 网 络 防范 的 方法 


要 提高 计算 机 网 络 的 防御 能 力 ,必须 加 强 网 络 的 安全 措施 ,否则 该 网 络 将 是 个 无 用 , 甚 
至 会 危及 国家 安全 的 网 络 。 无 论 是 在 局 域 网 还 是 在 广域网 中 ,都 存在 着 自然 和 人 为 等 诸多 
因素 的 脆弱 性 和 潜在 威胁 ,网 络 的 防范 措施 应 该 能 全 方位 地 应 付 各 种 不 同 的 威胁 和 脆弱 性 ， 
这 样 才 能 确保 网 络 信息 的 保密 性 、 完 整 性 和 可 用 性 。 下 面 从 实体 层次 、 能 量 层次 、 信 息 层次 
和 管理 层次 四 个 层次 来 阐述 网 络 防范 的 方法 。 

1. 实体 层次 防范 对 策 

在 组 建 网 络 的 时 候 , 要 充分 考虑 网 络 的 结构 、 布 线 .路 由 器 、 网 桥 的 设置 .位置 的 选择 ,加 
固 重 要 的 网 络 设施 ,增强 其 抗 摧毁 能 力 。 与 外 部 网 络 相连 时 ,采用 防火 墙 屏蔽 内 部 网 络 结 
构 , 对 外 界 访问 进行 身份 认证 数据 过 滤 , 在 内 部 网 中 进行 安全 域 划 分 .分 级 权限 分 配 。 对 外 
部 网 络 的 访问 ,将 一 些 不 安全 的 站 点 过 滤 掉 ,将 一 些 经 常 访问 的 站 点 做 成 镜像 ,可 大 大 提高 
效率 ,减轻 线路 负担 。 网 络 中 的 各 个 节点 要 相对 固定 ,严禁 随意 连接 ,一 些 重要 的 部 件 安排 
专门 的 场地 人 员 维护 .看管 ,防止 自然 或 人 为 的 破坏 ,加 强 场地 安全 管理 ,做 好 供电 、 接 地 、 丈 
火 的 管理 ,与 传统 意义 上 的 安全 保卫 工作 的 目标 相 吻 合 。 

2. 能 量 层次 防范 对 策 

能 量 层 次 的 防范 对 策 是 围绕 着 制 电磁 权 而 展开 的 物理 能 量 的 对 抗 。 攻 击 者 一 方面 通过 
运用 强大 的 物理 能 量 干扰 ,压制 或 嵌入 对 方 的 信息 网 络 ; 另 一 方面 又 通过 运用 探测 物理 能 
量 的 技术 手段 对 计算 机 辆 射 信号 进行 采集 与 分 析 , 获 取 秘密 信息 。 防 范 的 对 策 主要 是 做 好 
计算 机 设施 的 防 电磁 泄漏 . 抗 电磁 脉冲 干扰 ,在 重要 部 位 安装 干扰 器 建设 屏 项 机 房 等 。 

目前 主要 防护 措施 有 两 类 ， 

一 类 是 对 外 围 辆 射 的 防护 ,主要 采取 对 电源 线 和 信号 线 加 装 性 能 良好 的 滤波 器 , 减 小 伟 
输 阻 抗 和 导线 间 的 交叉 耦合 ; 给 网 络 加 装 电磁 屏 项 网 ,防止 敌 方 电磁 武器 的 攻击 。 

另 一 类 是 对 自身 辐射 的 防护 ,这 类 防护 措施 又 可 分 为 两 种 , 一 是 采用 各 种 电磁 屏蔽 措 
施 , 如 对 设备 的 金属 屏 珊 和 各 种 接 插 件 的 屏蔽 ,同时 对 机 房 的 下 水 管 .暖气 管 和 金属 门窗 进 
行 屏 项 和 隔离 ; 二 是 干扰 的 防护 措施 , 即 在 计算 机 系统 工作 的 同时 ,利用 干扰 装置 产生 一 种 
与 计算 机 系统 辆 射 相关 的 伪 噪 声 向 空间 辆 射 来 掩盖 计算 机 系统 的 工作 频率 和 信息 特征 。 

3. 信息 层次 防范 对 策 

信息 层次 的 计算 机 网 络 对 抗 主要 包括 计算 机 病毒 对 抗 . 黑 客 对 抗 . 密 码 对 抗 . 软 件 对 抗 、 
芯片 陷阱 等 多 种 形式 。 信 息 层次 的 计算 机 网 络 对 抗 是 网 络 对 抗 的 关键 层次 ,是 网 络 防御 的 
主要 环节 。 它 与 计算 机 网 络 在 物理 能 量 领域 对 抗 的 主要 区 别 表现 在 , 信息 层次 的 对 抗 中 获 
得 制 信息 权 的 决定 因素 是 迎 辑 的 ,而 不 是 物理 能 量 的 ,取决 于 对 信息 系统 本 身 的 技术 掌握 水 
平 ,是 知识 和 智力 的 较量 ,而 不 是 电磁 能 量 强 弱 的 较量 。 信 息 层次 的 防御 对 策 主要 是 防御 黑 
客 攻 击 和 计算 机 病毒 。 对 黑客 攻击 的 防范 ,主要 从 访问 控制 技术 .防火墙 技 术 和 信息 加 密 技 
术 方 面 进行 防范 。 

4. 管理 层次 防范 对 策 

实现 信息 安全 ,不 但 靠 先进 的 技术 ,而 且 也 得 靠 严格 的 安全 管理 。 建 立 相应 的 网 络 安全 
管理 办 法 ,加 强 内 部 管理 ,建立 合适 的 网 络 安全 管理 系统 ,加 强 用 户 管理 和 授权 管理 ,建立 安 
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全 审计 和 跟踪 体系 ,提高 整体 网 络 安全 意识 。 重 要 环节 的 安全 管理 要 采取 分 权 制 衡 的 原则 ， 
要 害 部 位 的 管理 权限 如 果 只 交 给 一 个 人 管理 ,一 旦 出 问题 就 将 全 线 前 溃 。 分 权 可 以 相互 制 
约 , 提 高 安全 性 。 要 有 安全 管理 的 应 急 响 应 预案 ,一 旦 出 现 相 关 的 问题 马上 采取 对 应 的 
措施 。 

安全 的 本 质 是 攻击 防守 双方 不 断 利 用 脆弱 性 知识 进行 的 博弈 : 攻防 双方 不 断 地 发 现 漏 
洞 并 利用 这 些 信 息 达 到 各 自 的 目的 。 

网 络 安全 是 相对 的 动态 的 。 例 如 , 随 着 操作 系统 和 应 用 系统 漏洞 的 不 断 发 现 以 及 口令 
很 久未 曾 更 改 等 情况 的 发 生 , 整 个 系统 的 安全 性 就 受到 了 威胁 ,这 时 若 不 及 时 打 安 全 补丁 或 
更 换 口 令 ,就 很 可 能 被 一 直 在 企图 人 侵 却 未 能 成 功 的 黑客 轻易 攻破 。 

攻击 方 受 防 御 方 影响 ,防御 方 受 攻击 方 影 响 是 攻防 博弈 的 基本 假定 。 作 为 博弈 一 方 的 
攻击 方 , 受 防御 方 和 环境 影响 而 存在 不 确定 性 ,所 以 攻击 方 有 风险 。 作 为 博弈 一 方 的 防御 
方 , 受 攻击 方 和 环境 影响 而 存在 不 确定 性 ,所 以 防御 方 也 有 风险 。 防 御 方 必须 坚持 持续 改进 
原则 ,其 安全 机 制 既 含 事 前 保障 , 亦 含 事后 监控 。 

随 着 网 络 技术 的 发 展 ,网 络 攻 击 技术 也 发 展 很 快 ,安全 产品 的 发 展 仍 处 在 比较 被 动 的 局 
面 。 安 全 产品 只 是 一 种 防范 手段 ,最 关键 还 是 靠 人 ,要 靠 人 的 分 析 判 断 能 力 去 解决 问题 ,这 
就 使 得 网 络 管理 人 员 和 网 络 安全 人 员 要 不 断 更 新 这 些 方面 的 知识 ,在 了 解 安全 防范 的 同时 
也 应 该 多 了 解 网 络 攻击 的 方法 ,只 有 这 样 才 能 知己 知 彼 ,在 网 络 攻 防 的 博弈 中 占据 有 利 


4.3.3 网 络 防范 的 原理 


面 对 当 前 如 此 独 狐 的 黑客 攻击 ,必须 做 好 网 络 的 防范 工作 。 网 络 防范 分 为 积极 防范 和 
消极 防范 ,下 面 介绍 这 两 种 防范 的 原理 。 

1. 积极 安全 防范 的 原理 

对 正常 的 网 络 行为 建立 模型 ,把 所 有 通过 安全 设备 的 网 络 数据 拿 来 和 保存 在 模型 内 的 
正常 模式 相 匹 配 ,如 果 不 在 这 个 正常 范围 以 内 ,那么 就 认为 是 攻击 行为 ,对 其 作出 处 理 。 这 
样 做 的 最 大 好 处 是 可 以 阻挡 未 知 攻击 ,如 攻击 者 刚刚 发 现 的 不 为 人 知 的 攻击 方案 。 对 这 种 
方式 来 说 ,建立 一 个 安全 、 有 效 的 模型 就 可 以 对 各 种 攻击 作出 反应 了 。 例 如 , 包 过 滤 路 由 器 
对 所 接收 的 每 个 数据 包 作 允许 、 拒 绝 的 决定 。 路 由 器 审查 每 个 数据 报 以 便 确 定 其 是 否 与 某 
一 条 包 过 滤 规 则 匹配 。 管 理 员 可 以 配置 基于 网 络 地址 、 端 口 和 协议 的 允许 访问 的 规则 ,只 要 
不 是 这 些 允许 的 访问 ,都 禁止 访问 。 

但 对 正常 的 网 络 行为 建立 模型 有 时 是 非常 困难 的 ,例如 ,在 入 侵 检 测 技术 中 ,异常 人 
侵 检测 技术 就 是 根据 异常 行为 和 使 用 计算 机 资源 的 异常 情况 对 入 侵 进行 检测 ,其 优点 是 
可 以 检测 到 未 知 的 入侵 ,但 是 入 侵 性 活动 并 不 总 是 与 异常 活动 相符 合 ,因而 就 会 出 现 漏 
检 和 虚报 。 

2. 消极 安全 防范 的 原理 

以 已 经 发 现 的 攻击 方式 ,经 过 专家 分 析 后 给 出 其 特征 进而 来 构建 攻击 特征 集 。 然 后 在 
网 络 数据 中 寻找 与 之 匹配 的 行为 ,从 而 起 到 发 现 或 阻挡 的 作用 。 它 的 缺点 是 使 用 被 动 安全 
防范 体系 ,不 能 对 未 被 发 现 的 攻击 方式 作出 反应 。 消 极 安全 防范 的 一 个 主要 特征 就 是 针对 
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已 知 的 攻击 ,建立 攻击 特征 库 , 作 为 判断 网 络 数据 是 否 包含 攻击 的 依据 。 使 用 消极 安全 防范 
模型 的 产品 ,不 能 对 付 未 知 攻击 行为 ,并 且 需 要 不 断 更 新 的 特征 库 。 例 如 ,在 入 侵 检测 技术 
中 , 误 用 入 侵 检测 技术 就 是 根据 已 知 的 入 侵 模式 来 检测 入 侵 。 入 侵 者 常常 利用 系统 和 应 用 
软件 中 的 弱点 攻击 ,而 这 些 弱点 易 编 成 某 种 模式 ,如 果 入 侵 者 攻击 方式 恰好 匹配 上 检测 系统 
中 的 模式 库 , 则 入 侵 者 即 被 检测 到 。 其 优点 是 算法 简单 、 系 统 开销 小 ,但 是 缺点 是 被 动 , 只 能 
检测 出 已 知 攻击 ,模式 库 要 不 断 更 新 。 


4.3.4 网 络 安 全 模型 


网 络 防范 的 目的 就 是 实现 网 络 安 全 目标 ,网络 安全 的 工作 目标 通俗 地 说 就 是 下 面 的 “六 
不 ”:“ 进 不 来 ”一 一 访问 控制 机 制 ,“ 拿 不 走 ” 一 一 授权 机 制 ,“ 看 不 懂 ” 加 密 机 制 ,“ 改 不 
了 ”一 一 数据 完整 性 机 制 ,“ 逃 不 掉 ” 一 一 审计 、 监 控 、 签 名 机 制 ,“ 打 不 垮 ” 一 一 数据 备份 与 灾 
难 恢复 机 制 。 为 了 实现 整体 网 络 安全 的 工作 目标 ,有 两 种 流行 的 网 络 安全 模型 : P2DR 模 
型 和 AP2DRR 模型 。 

P2DR 模型 是 动态 安全 模型 (可 适应 网 络 安全 模型 ) 的 代 
表 性 模型 。 在 整体 的 安全 策略 的 控制 和 指导 下 ,在 综合 运用 
防护 工具 (如 防火 墙 操 作 系 统 身 份 认证 、 加 密 等 手段 ) 的 同 
时 ,利用 检测 工具 (如 漏洞 评估 、 入 侵 检测 等 系统 ) 了 解 和 评估 
系统 的 安全 状态 ,通过 适当 的 反应 将 系统 调整 到 “最 安全 ”和 
“风险 最 低 ” 的 状态 。 模 型 如 图 4-55 所 示 。 

根据 P2DR 模型 的 理论 ,安全 策略 是 整个 网 络 安 全 的 依 
据 。 不 同 的 网 络 需 要 不 同 的 策略 ,在 制定 策略 以 前 .需要 全 面 
考虑 局 域 网 络 中 如 何在 网 络 层 实现 安全 性 ,如 何 控 制 远程 用 
户 访问 的 安全 性 ,在 广域网 上 的 数据 传输 实现 安全 加 密 传输 
和 用 户 的 认证 等 问题 。 对 这 些 问题 作出 详细 回答 ,并 确定 相应 的 防护 手段 和 实施 方法 ,就 是 
针对 企业 网 络 的 一 份 完 整 的 安全 策略 。 策 略 一 旦 制定 ,应 当 作为 整个 企业 安全 行为 的 准则 。 

而 AP2DRR 模型 则 包括 以 下 环节 : 

网 络 安全 = 风险 分 析 (A) 十 制定 安全 策略 (P) 十 系统 防护 (P) 
十 实时 监测 (D) 十 实时 响应 (R) 十 灾难 恢复 (R) 

通过 对 以 上 AP2DRR 的 6 个 元 素 的 整合 ,形成 了 一 套 整 体 的 网 络 安全 结构 ,如 图 4-56 
所 示 。 

事实 上 ,对 于 一 个 整体 网 络 的 安全 问题 .无 论 是 PZ2DR 还 是 AP2DRR ,都 将 如 何 定位 网 
络 中 的 安全 问题 放 在 最 为 关键 的 位 置 。 这 两 种 模型 都 提 到 了 一 个 非常 重要 的 环节 

P2DR 中 的 检测 环节 和 AP2DRR 中 的 风险 分 析 ,在 这 两 

种 安全 模型 中 ,这 个 环节 并 非 仅 仅 指 的 是 狭义 的 检测 手 
实时 

安全 风险 的 客观 数据 ,为 信息 安全 方案 制定 提供 依据 。 

网 络 安全 具有 相对 性 ,其 防范 策略 是 动态 的 ,因而 网 络 


段 ,而 是 一 个 复杂 的 分 析 与 评估 的 过 程 。 通 过 对 网 络 中 
图 4-56 AP2DRR 动态 安全 模型 ”安全 防范 模型 是 一 个 不 断 重 复 改 进 的 循环 过 程 。 


图 4-55 P2DR 安全 模型 示意 


的 安全 漏洞 及 可 能 受到 的 威胁 等 内 容 进 行 评 估 。 获 取 
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4.4 实 训 


至 训 ”冰河 木 忆 攻击 与 防 汽 

实 训 目的 ; 了 解 木马 运行 机 理 ,掌握 查 杀 木马 的 基本 方法 。 对 目标 机 使 用 冰河 软件 进 
行 感染 后 控制 ,清除 冰河 木马 病毒 。 

实 训 准备 : 连 网 的 个 人 计算 机 ,Windows 2000 系统 平台 。 

实 训 内 容 : 

1. 冰河 木马 的 组 成 

(1) G_Server. exe。 被 监控 端 后 台 监 控 程序 ,安装 前 通过 G_Client. exe 进行 一 些 特殊 
配置 ,例如 是 否 将 动态 IP 发 送 到 指定 信箱 改变 监听 端口 .设置 访问 口令 。 黑 客 想方设法 对 
它 进 行 伪装 ,用 各 种 方法 将 服务 器 端 程 序 安 装 在 你 的 电脑 上 ,程序 运行 时 没有 一 点 痕迹 ,很 
难 发 现 有 木马 冰河 在 你 的 电脑 上 运行 。 

(2) G_Client. exe。 监 控 端 执行 程序 ,用 于 监控 远程 计算 机 和 配置 服务 器 程序 。 

(3) Operate. ini。G_Server. exe 的 配置 文件 : 


编 G_Client.exe 2010/12/8 15:30 ”应 用 程序 
国 G_Server.exe 2010/12/8 15:30 应 用 程序 
四 Operatejini 2010/12/13 19:54 配置 设置 


2. 冰河 木马 的 使 用 

将 G_Server. exe 植 人 目标 主机 ,打开 瑞士 军刀 图 标 客 户 端 G_Client, 选 择 添加 主机 , 填 
上 我 们 搜索 到 的 IP 地 址 。 对 服务 器 进行 简单 配置 (如 图 4-57 所 示 ) ,监听 端口 2001 可 更 换 
(范围 在 1024 一 32 768 之 间 ); 关联 可 更 改 为 与 EXE 文件 关联 (就 是 无 论 运行 什么 exe 文 
件 , 冰 河 就 开始 加 载 ); 还 有 关键 的 邮件 通知 设置 。 


内 水 河 V8.0 正式 版 TESTe 
文件 中 如 {E] 。 设置 fG] 。 本 二 {H] 


ETTLTLEIIELEELY 


| 当前 连接 : EE 
回 娃 本 设 置 | 国 自我 保护 | 得 邮件 通知 | 


安装 辽 伍 : [S57 可 文件 多: Minds exe 
进程 和 称 : Mvions 访问 口令: 


节 咸 字 行 : , 人 S, 宝 ,到 ,这 护 本 .条 情 , 户 Pesord connect, account, 1oein 1oeon 


田 轩 192.168 


提示 信息 : 『 
WD: 2001 厂 自动 生 辽 安装 文件 。。” 厅 天 止 自动 拓 号 


x | 关闭 | 


图 4-57 G_Server 服务 器 简单 配置 
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(1) 服务 器 的 配置 。 

|@ 安装 路 径 : 服务 器 程序 安装 的 位 置 。 有 三 个 选项 ,分 别 为 Windows、System、Temp， 
这 些 都 是 Windows 里 的 一 些 目录 。 

@ 文件 名 称 : 是 服务 器 程序 安装 到 目标 计算 机 之 后 的 名 称 ,默认 是 Winoldap. exe。 对 
于 不 熟悉 Windows 系统 的 用 户 来 说 ,这 可 像 是 一 个 系统 程序 。 当 然 ,这 个 名 称 是 可 以 改 的 。 

@ 进程 名 称 : 服务 器 程序 运行 时 ,在 进程 栏 中 显示 的 名 称 。 默 认 的 进程 名 是 Windows， 
也 可 以 更 改 。 

@ 访问 口令 : 客户 机 连接 服务 器 程序 时 需要 输入 的 口令 。 如 果 用 于 远程 控制 的 时 候 ， 
可 以 在 一 定 程度 上 限制 客户 端 程序 的 使 用 。 

@ 敏感 字符 : 设置 冰河 程序 对 某 些 敏感 字符 的 信息 加 以 记录 。 冰 河 把 这 些 包 含 文字 
的 信息 保存 下 来 ,然后 通过 各 种 途径 发 给 黑客 。 

提示 信息 : 被 控制 计算 机 运行 时 ,弹出 的 对 话 框 信息 。 如 果 为 空 的 话 ,程序 运行 时 
就 没有 任何 提示 。 

@ 监听 端口 : 设置 服务 器 程序 在 哪个 端口 等 待 客户 程序 的 连接 ,以 前 的 默认 设置 是 
7626 ,在 冰河 8. 0 版 本 中 ,端口 号 已 经 改 为 了 2001。 

@ 自动 删除 安装 程序 : 如 果 选 中 此 项 的 话 , 会 自动 删除 安装 程序 。 

@ 禁止 自动 拨号 : 如 果 不 选 中 此 项 的 话 , 每 次 开机 时 ,冰河 就 会 自动 拨号 上 网 ,然后 把 
系统 信息 发 送 到 指定 的 邮箱 。 通 常 , 黑 客 们 都 不 会 轻易 暴露 自己 ,所 以 他 们 会 选中 该 项 。 

@@ 待 配置 文件 : 服务 器 程序 的 名 称 , 原 始 的 文件 名 是 G_Server. exe。 

(2) 自动 保护 的 配置 。 

如 图 4-58 所 示 , 它 可 以 设置 服务 器 程序 在 目标 计算 机 上 的 一 些 配 置 。 具 体 包括 如 下 
内 容 。 

@ 写 入 注册 表 启 动 项 : 选中 此 项 的 话 ,每 次 系统 启动 时 都 会 自动 运行 冰河 。 它 在 注册 
表 中 的 位 置 是 HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\Currentversion\ 
runservice。 

@) 键 名 : 在 注册 表 中 的 名 称 。 

@ 关联 : 这 是 一 个 令 冰 河 死灰复燃 的 功能 。 如 果 选 中 的 话 , 当 关联 文件 是 文本 文件 的 
时 候 ,用 户 执行 文本 文件 之 后 ,就 会 自动 装载 冰河 ; 同样 的 道理 ,选择 可 执行 程序 关联 后 ,可 
执行 程序 也 会 自动 装载 冰河 。 


内 服务 如 本 要 EeE 
加 基本 设置 一 自我 保护 | 和 邮件 通知 | 


否 写 入 注册 表 的 启动 项 ， 以 便 使 水 河 在 开机 时 自动 加 载 一 一 一 一 一 
厅 写 入 注册 表 启 动 硕 。。 键 名 : 


天 将 冰河 与 文件 类 型 相关 联 ， 以 便 被 出 f 余 后 在 打开 相关 文件 时 自动 居 夏 一 一 
克 关联 。 关联 内 型 :TxtFile ”二 ] 。 关联 文件 名 otepsi exe 


fe | 关于 | 


图 4-58 自动 保护 配置 


wy 
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(3) 邮件 通知 的 配置 。 

Q@ SMTP 服务 器 : 冰河 用 来 发 送 邮 件 的 服务 器 ,例如 smtp. 263. net 等 。 

@ 接收 信箱 : 这 就 是 黑客 用 来 接收 目标 计算 机 信息 的 信箱 ,如 图 4-59 所 示 。 

@ 邮件 内 容 : 包括 系统 信息 、 开 机 口令 、 缓 存 口令 、 共 享 资 源 信息 等 ,也 可 以 只 选择 其 
中 一 项 或 几 项 。 

@ 搜索 计算 机 找到 开启 2001 端口 的 计算 机 尝试 连接 控制 ,如 图 4-60 所 示 。 


服务 器 肯 置 e 网 将 二 计算 机 [Dl 
加 基本 设置 | 国 日 人 j 重印 和 | | 扫 索 江 转 一 一 一 一 一 一 搜索 结果 : 
监听 端口 : ”2001 
如 果 不 需 要 发 送 动态 IP ,请 全 编 加 要 半空 | pe 
IE [ET i 
起 始 地 址 : Fa， 
地 内容 | 终 上 地 直 ; 的， 
厅 系统 信息 。。” 订 开机 口令 尺 缓存 D 令 。。 太 匡 这 可 天 计划 
| 
本 
他 叶 置 文件 : 了 和 BR .| 关闭 
[准备 搜索 
图 4-59 邮件 通知 图 4-60 搜索 开启 2001 端口 计算 机 


3. 冰河 木马 的 清除 

检测 自己 的 计算 机 是 否 中 了 冰河 木马 , 那 就 是 在 本 机 上 执行 冰河 客户 端 程序 ,进行 自动 
搜索 ,搜索 的 网 段 设置 要 短 ,并 且 要 包含 本 机 的 固定 IP, 如 果 发 现 本 机 IP 的 前 面 出 现 OK 
的 话 , 那 就 意味 着 存在 冰河 木马 。 要 消除 冰河 的 话 , 在 客户 端 执行 系统 控制 里 的 “自动 印 载 
冰河 " 即 可 。 此 方法 简单 易 用 ,并 且 甸 载 得 比较 彻底 。 
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随 着 互联 网 的 不 断 发 展 ,网 络 攻击 技术 不 断 变化 发 展 ,形式 呈现 多 样 化 ,这 也 促使 网 络 
防御 技术 必须 不 断 更 新 换代 ,不 断 发 展 ,以 适应 网 络 安全 的 新 形势 。 网 络 防 御 是 一 个 综合 性 
的 安全 工程 ,不 是 几 个 网 络 安全 产品 能 够 完成 的 任务 。 防 御 需 要 解决 多 层面 的 问题 ,除了 安 
全 技术 之 外 ,安全 管理 也 十 分 重要 ,实际 上 提高 用 户 群 的 安全 防范 意识 、 加 强 安全 管理 所 能 
起 到 的 效果 远 远 高 于 应 用 几 个 网 络 安全 产品 。 从 技术 层面 上 看 ,网 络 安全 防御 体系 应 该 是 
多 层次 、 纵 深 型 ,这 种 防御 体系 可 以 有 效 地 增加 入 侵 攻击 者 被 检测 到 的 风险 ,同时 降低 攻击 
的 成 功 几率 ,从 而 能 够 较 好 地 防御 各 种 网 络 人 侵 行为 。 目 前 网 络 安全 防御 技术 主要 包括 防 
火 墙 \ 人 侵 检测 系统 `VPN 和 防 病毒 技术 。 


5.1 防火 墙 技术 


防火 墙 是 一 种 用 来 加 强 网 络 之 间 访 问 控制 .防止 外 部 网 络 用 户 以 非法 手段 通过 外 部 网 
络 进入 内 部 网 络 ,访问 内 部 网 络 资源 ,保护 内 部 网 络 操作 环境 的 特殊 网 络 互 连 设备 。 它 对 两 
个 或 多 个 网 络 之 间 传 输 的 数据 包 和 连接 方式 按照 一 定 的 安全 策略 对 其 进行 检查 ,来 决定 网 
络 之 间 的 通信 和 是 否 被 允许 ,并 监视 网 络 运行 状态 。 
5.1.1 防火 墙 技术 概论 


1. 防火 墙 的 概念 
防火 墙 是 位 于 两 个 或 多 个 网 络 之 间 ,实施 网 间 访 问 控制 策略 的 一 组 组 件 ,如 图 5-1 所 
示 。 设 立 防 火 墙 的 目的 是 保护 内 部 网 络 不 受 来 自 外 部 网 络 的 攻击 ,从 而 创建 一 个 相对 安全 


的 内 网 环境 。 在 网 络 系统 中 ,防火 墙 是 一 个 由 软件 系统 
Network 


时 一 人 一、 和 硬件 设备 组 合 而 成 ,在 内 部 网 和 外 部 网 之 间 、 专 用 网 与 
及、 Nework 少 公共 网 之 间 构造 的 保护 屏障 ,使 nternet 与 Intranet 之 间 
图 5-1 防火 墙 示意 图 


建立 一 个 安全 网 关 (Security Gateway) ,从 而 保护 内 部 网 
免 受 非法 用 户 入 侵 , 简 单 部 署 如 图 5-2 所 示 。 
防火 墙 主要 由 服务 访问 规则 、 验 证 工具 、 包 过 滤 和 应 

用 网 关 四 部 分 组 成 。 理 想 的 防火 墙 应 该 满足 以 下 条 件 : 

(1) 内 部 和 外 部 之 间 的 所 有 网 络 数据 流 必 须 经 过 防火 墙 。 

(2) 只 有 符合 安全 策略 的 数据 流 才能 通过 防火 墙 。 

(3) 防火 墙 自身 应 具有 非常 强 的 抗 攻击 免疫 力 。 

防火 墙 一 般 采 用 四 种 控制 技术 来 达到 保护 内 部 网 络 的 目的 : 

(1) 服务 控制 ,控制 可 以 访问 的 Internet 服务 类 型 ,包括 向 内 和 向 外 。 
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内 部 网 一 si 机 


图 5-2 防火墙 的 简单 部 署 


(2) 方向 控制 ,控制 一 项 特殊 服务 所 要 求 的 方向 。 

(3) 用 户 控制 ,控制 访问 服务 的 人 员 。 

(4) 行为 控制 ,控制 服务 的 使 用 方式 ,如 E-mail 过 滤 等 。 

2. 防火 墙 的 功能 

一 般 而 言 ,一 个 单位 的 内 部 网 络 组 成 结构 复杂 ,各 节点 通常 自主 管理 ,但 机 构 有 整体 的 
安全 需求 和 显著 的 内 外 区 别 。 通 过 部 署 和 使 用 防火 墙 ,不 但 可 以 贯彻 执行 单位 的 整体 安全 
策略 防止 外 部 攻击 ,还 可 有 效 地 隔离 不 同 网 络 , 限 制 安全 问题 扩散 ,也 可 有 效 地 记录 和 审核 
Internet 上 的 活动 。 防 火 墙 好 像 大 门 上 的 锁 ,主要 职能 是 保护 内 部 网 络 的 安全 。 

由 于 防火 墙 处 于 内 部 网 络 和 外 部 网 络 之 间 这 个 特殊 位 置 , 因 此 防火 墙 上 还 可 以 添加 一 
些 其 他 功能 ,主要 包括 : 通过 防火 墙 将 内 部 私有 地 址 转换 为 全 球 公 共 地 址 ; 对 一 个 特定 用 
户 的 身份 进行 校 验 ,判断 是 否 合法 ; 对 通过 防火 墙 的 信息 进行 监控 ; 支持 VPN 功能 等 。 

3. 防火 墙 的 局 限 性 

防火 墙 不 能 对 内 部 威胁 提供 防护 支持 ,也 不 能 对 绕 过 防火 墙 的 攻击 提供 保护 。 受 性 能 
限制 ,防火 墙 不 能 有 效 地 防范 数据 内 容 驱 动 式 攻击 ,对 病毒 传输 的 保护 能 力也 比较 弱 。 为 了 
提高 安全 性 ,防火 墙 系统 限制 或 关闭 了 一 些 有 用 但 存在 安全 缺陷 的 网 络 服务 ,从 而 给 用 户 造 
成 了 使 用 的 不 便 , 这 可 能 带 来 传输 延迟 .性 能 瓶颈 及 单 点 失效 。 另 外 ,作为 一 种 被 动 的 防护 
手段 ,防火 墙 不 能 自动 防范 因特网 上 不 断 出 现 的 新 的 威胁 和 攻击 。 

4. 防火 墙 的 发 展 

第 一 代 防 火 墙 技术 几乎 与 路 由 器 同时 出 现 ,采用 了 包 过 滤 (Packet Filter) 技 术 。1989 
年 ,贝尔 实验 室 的 Dave Presotto 和 Howard Trickey 推出 了 第 二 代 防 火 墙 即 电 路 层 防火 墙 、 
第 三 代 防 火 墙 应 用 层 防火 墙 的 初步 结构 。1992 年 ,USC 信息 科学 院 的 Bob Braden 开发 出 
了 基于 动态 包 过 滤 (Dynamic Cacket Filter) 技 术 的 第 四 代 防 火 墙 ,后 来 演变 为 状态 检测 
(Stateful Inspection) 技 术 。1998 年 ,NAI 公司 推出 了 一 种 自 适应 代理 (Adaptive Proxy) 技 
术 , 给 代理 类 型 防火 墙 赋 子 了 全 新 的 意义 , 称 之 为 第 五 代 防火 墙 。 随 着 万 兆 UTM (Unified 
Threat Management ,统一 威胁 管理 ) 的 出 现 ,UTM 代替 防火 墙 的 趋势 不 可 避免 。 在 国际 
上 ,Juniper 公司 高 性 能 UTM 占据 了 一 定 的 市 场 份额 ; 国内 ,H3C、 启 明星 辰 高 性 能 UTM 
则 一 直 领 跑 国内 市 场 。 
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5.1.2 防火 墙 的 主要 技术 


防火 墙 的 主要 技术 包括 包 过 滤 技 术 、 代 理 技术 、 状 态 检 测 技术 、 地 址 翻译 技术 、VPN 技 
术 以 及 其 他 技术 。 

1. 包 过 滤 技 术 

包 过 滤 (Packet Filtering) 技 术 是 防火 墙 在 网 络 层 根据 IP 数据 包 中 的 包头 信息 有 选择 
地 实施 允许 通过 或 阻 断 。 包 过 滤 防 火 墙 对 流 经 该 设备 的 IP 数据 包 地 址 信息 、 协 议 类 型 .路 
由 信息 、 流 向 等 首部 信息 ,按照 事先 设 定 的 过 滤 规 则 来 决定 是 否 允 许 该 数据 包 通 过 。 判 断 依 
据 (如 图 5-3 所 示 ) 如 下 : 


人 机 册 指 人 全 
行 过 滤 、 


Ethernet 报 头 | IP 报 头 | TCP 头 | 


检测 ， 符 合 
件 的 数据 包 就 允许 证 


010101110001110 攻 村 010101110001110 


图 5-3 包 过 滤 防 火 墙 工作 原理 


中 源 、 目 的 IP 地址 和 源 、 目 的 端口 。 

@ 数据 包 协 议 类 型 ,如 TCP.UDP ICMP IGMP 等 。 

@ IP 路 由 选项 。 

@ TCP 标志 位 选项 ,如 SYN、ACK FIN RST 等 。 

@ 数据 包 流 向 或 流 经 的 网 络 接口 ,如 in 或 out 等 ,以 允许 合乎 规则 的 数据 包 通 过 防火 
墙 进入 内 部 或 外 部 网 络 ,而 将 不 合乎 规则 的 数据 包 丢弃 ,如 图 5-4 所 示 。 


问 本 出 奖 副 


网 络 数据 流 


网 络 数 据 流 


图 5-4 包 过 滤 防 火 墙 数据 流 示意 
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包 过 滤 技 术 核 心 是 安全 策略 即 过 滤 规 则 的 设计 。 

目前 ,普通 路 由 器 、 个 人 防火 墙 软件 、 商 业 版 防火 墙 产 品 , 以 及 一 些 开源 防火 墙 软件 如 
Iptables、Ipfilter 都 提供 了 包 过 滤 功 能 。 

(1) Windows XP 防火 墙 配置 与 使 用 。 

防火 墙 的 启用 : 选择 “开始 ”| 程序 "| 附件 ?|* 通 讯 "|* 网 络 连接 ”命令 ,打开 网 络 连 接 
对 话 框 , 单 击 “ 高 级 ”选项 ,出 现 * Windows 防火 墙 ” 对 话 框 ,选择 “启用 (推荐 )” 单 选 按钮 ,如 
图 5-5 所 示 。 

需要 拒绝 所 有 连接 时 ,选中 “不 允许 例外 ” 
复 选 框 ,安全 性 最 高 ,Windows 阻止 程序 时 不 通 
知 用 户 , 并 且 在 “例外 ”选项 卡 中 的 程序 也 会 被 
阻止 。 需 要 对 外 提供 服务 时 ,取消 选中 “不 允许 
例外 ” 复 选 框 ,在 “例外 ”选项 卡 中 的 程序 或 端口 
允许 被 访问 ,不 在 “例外 ?选项 卡 中 的 程序 和 端 
口 不 允许 被 外 界 访问 。 选 择 * 例 外 ”选项 卡 , 添 
加 允许 端口 ,例如 当 本 机 需要 对 外 界 提供 
WWW 服务 时 ,将 开放 80 端口 等 待 /监听 客户 
端 连接 ,点 击 “ 添 加 端口 ”, 输 入 端口 名 、 端 口号 
和 使 用 协议 , 则 外 界 只 允许 访问 本 机 80 端口 即 
WWW 服务 ,其 他 端口 /服务 都 拒绝 被 访问 。 

(2) 包 过 滤 技 术 特 点 。 

因为 CPU 用 来 处 理 包 过 滤 的 时 间 相 对 很 图 5-5 Windows XP 防火 墙 
少 , 这 种 防护 措施 对 用 户 透明 ,合法 用 户 在 进出 
网 络 时 ,感觉 不 到 它 的 存在 ,使 用 起 来 很 方便 。 因 为 包 过 滤 技 术 不 保留 前 后 连接 信息 ,所 以 
很 容易 实现 允许 或 禁止 访问 。 因 为 包 过 滤 技 术 是 在 TCP/IP 层 实 现 , 包 过 滤 一 个 很 大 的 弱 
点 是 不 能 在 应 用 层级 别 上 进行 过 滤 ,所 以 防护 方式 比较 单一 。 包 过 滤 技 术 作 为 防火 墙 的 应 
用 有 两 类 : 一 是 路 由 设备 在 完成 路 由 选择 和 数据 转换 之 外 ,同时 进行 包 过 滤 ; 二 是 在 一 种 
称 为 屏蔽 路 由 器 的 设备 上 起 动 包 过 滤 功 能 。 

2. 代理 技术 

代理 技术 又 称 为 应 用 网 关 技 术 。 应 用 代理 防火 墙 运行 在 两 个 网 络 之 间 , 它 对 于 客户 来 
说 像 是 一 台 真 的 服务 器 一 样 ,而 对 于 服务 器 来 说 它 又 是 一 台 客 户 机 。 当 代理 服务 器 接收 到 
客户 的 请 求 后 ,会 检查 用 户 请 求 是 否 符合 相关 安全 策略 的 要 求 , 如 果 符 合 的 话 , 代 理 服务 器 
会 代表 客户 ,去 服务 器 那里 取 回 所 需 信息 再 转发 给 客户 ,如 图 5-6 所 示 。 

应 用 代理 防火 墙 作 用 在 应 用 层 ,控制 应 用 层 的 服务 ,在 内 部 网 络 向 外 部 网 络 申请 服务 时 
起 到 中 间 转 接 作用 。 内 部 网 络 只 接受 代理 提出 的 服务 请 求 . 拒 绝 外 部 网 络 其 他 节点 的 直接 
请 求 。 代 理 防火 墙 代替 受 保护 网 的 主机 向 外 部 网 发 送 服务 请 求 , 并 将 外 部 服务 请 求 响应 的 
结果 返回 给 受 保护 网 的 主机 。 受 保护 网 内 部 用 户 对 外 部 网 访问 时 ,也 需要 通过 代理 防火 墙 ， 
才能 向 外 提供 请 求 , 这 样 外 网 只 能 看 到 防火 墙 ,从 而 隐藏 了 受 保护 网 内 部 地 址 ,提高 了 安全 
性 ,其 数据 流 如 图 5-7 所 示 。 

代理 服务 器 接受 内 、 外 部 网 络 的 通信 数据 包 , 根 据 自己 的 安全 策略 进行 过 滤 , 不 符合 安 
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对 应 用 层 数据 进行 控制 
Ethernet 报 头 | IP 报 头 | TCP 头 水 用 层 数据 | 
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NR 


图 5-6 应 用 代理 防火 墙 工作 原理 
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图 5-7 应 用 代理 防火 墙 数据 流 示 意 


全 协议 的 信息 被 拒绝 或 丢弃 。 应 用 代理 防火 墙 工 作 在 TCP/IP 的 应 用 层 ,针对 特定 的 网 络 
应 用 服务 协议 进行 过 滤 , 使 用 代理 软件 来 转发 和 过 滤 特 定 的 应 用 层 服务 ,只 允许 有 代理 的 服 
务 通过 防火 墙 ,并 且 能 够 对 数据 包 进行 分 析 并 形成 相关 的 报告 。 

应 用 代理 防火 墙 另 一 个 功能 是 对 通过 的 信息 进行 记录 ,如 什么 样 的 用 户 在 什么 时 间 连 
接 了 什么 站 点 。 在 实际 工作 中 ,代理 服务 器 一 般 由 专用 工作 站 系统 来 完成 。 目 前 常见 的 应 
用 代理 防火 墙 产品 有 商业 版 代理 (Cache) 服 务 器 .开源 防火 墙 软件 TIS FWTK (Firewall 
Toolkit) 、Apache 和 Squid 等 。 

(1) 应 用 代理 防火 墙 的 优点 。 

防火 墙 理 解 应 用 层 协议 ,可 以 实施 更 细 粒 度 的 访问 控制 ,因此 比 包 过 滤 更 安全 、 更 易于 
配置 ,界面 友好 。 防 火 墙 不 允许 内 外 网 主机 的 直接 连接 ,安全 检查 只 需要 详细 检查 几 个 允许 
的 应 用 程序 ,比较 容易 对 进出 数据 进行 日 志和 审计 。 

(2) 应 用 代理 防火 墙 的 缺点 。 

额外 的 处 理 负载 ,应 用 代理 防火 墙 的 处 理 速 度 比 包 过 滤 防 火 墙 要 慢 , 当 用 户 对 内 外 部 网 
络 网 关 的 吞吐 量 要 求 比 较 高 时 ,代理 防火 墙 就 会 成 为 内 外 部 网 络 之 间 的 瓶颈 。 对 每 一 个 应 
用 .都 需要 一 个 专门 的 代理 ,灵活 性 不 够 。 用 户 可 能 需要 改造 网 络 的 结构 甚至 应 用 系统 。 
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3. 状态 检测 技术 

状态 检测 防火 墙 既 具 备 包 过 滤 防 火 墙 的 速度 和 灵活 性 ,也 具有 应 用 代理 防火 墙 的 安全 
优点 ,是 对 包 过 滤 和 应 用 代理 功能 的 一 种 平衡 。 状 态 检 测 防火 墙 采用 一 种 基于 连接 的 状态 
检测 机 制 ,将 属于 同一 连接 的 所 有 包 作为 一 个 整体 数据 流 看 待 , 构 成 连接 状态 表 , 通 过 规则 
表 与 状态 表 的 共同 配合 ,对 表 中 的 各 个 连接 状态 因素 加 以 识别 。 动 态 连 接 状态 表 中 的 记录 
可 以 是 以 前 的 通信 信息 ,也 可 以 是 其 他 相关 应 用 程序 的 信息 ,因此 与 包 过 滤 防 火 墙 的 静态 过 
滤 规 则 表 相 比 , 具 有 更 好 的 灵活 性 和 安全 性 ,其 工作 原理 图 和 检测 流程 图 如 图 5-8 和 图 5-9 
所 示 。 
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图 5-8 状态 检测 防火 墙 工作 原理 


数据 包 到 达 
防火 墙 端口 


数据 包 是 否 属于 一 
个 已 存在 的 连接 ? 


数据 包 内 容 不 
符合 策略 集 ? 
Yes 


转发 数据 包 ， 更 新 连接 拒绝 或 丢弃 数据 包 ， 
表 ， 进 行 日 志 记 录 进行 日 志 记 录 


检测 数据 包 是 
否 符合 规则 集 


数据 包 是 否 通 过 规 
则 集 检测 ? 


图 5-9 状态 检测 防火 墙 数据 流 示意 


(1) 流 过 滤 技 术 。 
状态 检测 技术 是 根据 会 话 信息 来 决定 单个 数据 包 是 否 可 以 通过 ,不 实际 处 理应 用 层 协 
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议 。 东 软 公司 NetEye 防火 墙 3.0 首创 “ 流 过 滤 ” 技 术 , 以 包 过 滤 的 外 部 形态 提供 了 应 用 级 
的 保护 能 力 , 带 给 用 户 的 最 大 好 处 在 于 对 应 用 层 保护 能 力 大 幅度 提升 ,是 在 状态 检测 包 过 滤 
的 架构 上 发 展 起 来 的 新 一 代 防 火 墙 技术 。 流 过 滤 技 术 核 心 是 专门 设计 的 TCP 协议 栈 , 该 协 
议 栈 根据 TCP 的 定义 对 出 入 防火 墙 的 数据 包 进 行 了 完全 的 重组 ,并 根据 应 用 层 的 安全 规则 
对 组 合 后 的 数据 流 进行 检测 。 由 于 这 个 协议 栈 的 存在 ,网 络 通信 在 防火 墙 内 部 由 链 路 层 上 
升 到 了 应 用 层 。 数 据 包 不 再 直接 到 达 目 的 端 ,而 是 完全 受 防火 墙 中 的 应 用 协议 模块 的 控制 。 
这 种 应 用 协议 模块 的 工作 方式 非常 类 似 于 代理 防火 墙 针 对 不 同 协议 的 代理 程序 , 代 蔡 服务 
器 接受 来 自 客户 端的 访问 ,再 代替 客户 端 去 获取 访问 的 结果 ,所 不 同 的 是 ,这 种 模块 能 够 支 
持 更 多 的 协议 种 类 和 更 大 规模 的 并 发 访问 。 

(2) 状态 检测 技术 的 主要 特点 。 

@ 安全 性 。 状 态 检测 防火 墙 工 作 在 数据 链 路 层 和 网 络 层 之 间 ,监测 所 有 应 用 层 的 数据 
包 并 从 中 提取 有 用 信息 ,如 IP 地址、 端口 号 和 数据 内 容 。 首 先 根据 安全 策略 保存 有 用 信息 
在 内 存 中 ; 然后 对 信息 组 合 进行 逻辑 或 数学 运算 、 相 应 操作 ,如 允许 或 拒绝 数据 包 通 过 、 认 
证 连接 和 加 密 数据 ,安全 性 得 到 很 大 提高 。 

@ 高 效 性 。 通 过 状态 检测 防火 墙 的 所 有 数据 包 都 在 低层 处 理 , 减 少 了 高 层 协 议 头 的 开 
销 , 执 行 效率 提高 很 多 。 一 个 连接 建立 起 来 ,就 不 用 再 对 该 连接 做 更 多 的 工作 。 例 如 ,一 个 
通过 身份 验证 的 用 户 打 开 另 一 个 浏览 器 ,防火 墙 会 自动 授予 该 计算 机 建立 其 他 会 话 的 权限 ， 
不 提示 用 户 输入 密码 。 

@ 可 伸缩 性 和 易 扩 展 性 。 状 态 检测 防火 墙 不 区 分 每 个 具体 的 应 用 ,只 是 根据 从 数据 包 
中 提取 的 信息 、 对 应 的 安全 策略 及 过 滤 规 则 处 理 数据 包 。 当 有 一 个 新 的 应 用 时 , 它 能 动态 产 
生 并 应 用 新 的 规则 ,而 不 用 另外 写 代码 ,所 以 具有 很 好 的 伸缩 性 和 扩展 性 。 

@ 应 用 范围 广 。 状 态 检测 防火 墙 不 仅 基 于 TCP 的 应 用 ,并 且 也 可 基于 无 连接 (如 
RPC、UDP) 协 议 的 应 用 。 状 态 检 测 防火 墙 视 所 有 通过 防火 墙 的 UDP 分 组 为 一 个 虚拟 连 
接 , 通 过 网 关 的 每 一 个 连接 的 状态 信息 都 会 被 记录 。 当 UDP 包 在 相反 方向 上 通过 时 ,依据 
连接 状态 表 确定 该 包 是 否 被 授权 和 通过 。 每 个 虚拟 连接 具有 一 定 的 生存 期 , 较 长 时 间 没 有 
数据 传送 的 连接 将 被 终止 。 

4. 网 络 地 址 转换 技术 

防火 墙 网 络 地 址 转换 技术 涉及 公用 地 址 和 专用 地 址 。 公 用 地 址 又 称 为 合法 IP 地 址 ,是 
指 由 Internet 网 络 信息 中 心 (InterNIC) 分 配 的 IP 地址 ,在 Internet 上 通信 必须 有 一 个 公用 地 
址 。 为 了 解决 下 地 址 短缺 问题 ,InterNIC 为 公司 专用 网 络 提供 了 保留 网 络 卫 专用 的 方案 。 
这 些 专 用 网 络 地 址 包括 : 子 网 掩 码 为 255. 0. 0. 0 的 10. 0. 0.0( 一 个 A 类 地 址 ) , 子 网 掩 码 为 
255. 240.0.0 的 172. 160. 0. 0( 一 个 也 类 地 址 ) , 子 网 掩 码 为 255. 255. 0. 0 的 192. 168. 0. 0 
(一 个 C 类 地 址 )。 专 用 地 址 不 能 直接 与 Internet 通信 ,使 用 专用 地 址 的 内 部 网 络 与 
Internet 进行 通信 ,专用 地 址 必须 转换 成 公用 地 址 。 

网 络 地 址 转换 器 (Network Address Translator, NAT) 是 完成 地 址 转换 的 一 个 部 件 , 如 
图 5-10 所 示 。NAT 位 于 使 用 专用 地 址 的 Intranet 和 使 用 公用 地 址 的 Internet 之 间 , 其 任 
务 如 下 : 

O@ 把 从 Intranet 传 出 数据 包 的 端口 号 和 专用 IP 地 址 换 成 自己 的 端口 号 和 公用 IP 地 
址 ,然后 将 数据 包 发 给 外 部 网 络 的 目的 主机 ,同时 记录 一 个 跟踪 信息 在 映像 表 中 ,并 向 客户 
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机 发 送 回答 信息 。 
@ 将 从 Internet 传人 数据 包 的 目的 端口 号 和 公用 IP 地 址 转换 为 客户 机 的 端口 号 和 内 
部 网 络 使 用 的 专用 IP 地 址 并 转发 给 客户 机 。 


192.168.0.2 
SS 192.168.0.1 
202.202.163.1 

电 KA 202.162.4.1 sq 

从 9 

内 网 的 计算 机 | 
ori Wb 服务 络 
< 
192.168.0.254 


图 5-10 ”NAT 工作 原理 


(1) 网 络 地 址 转换 技术 的 优点 。 

在 内 网 中 使 用 未 注册 的 专用 IP 地 址 ,与 外 部 网 络 通信 时 使 用 注册 的 公用 IP 地 址 ,大 大 
降低 了 连接 成 本 ; 同时 ,NAT 将 内 部 网 络 隐藏 起 来 ,起 到 保护 内 部 网 络 的 作用 ,对 外 部 用 户 
来 说 只 有 使 用 公用 IP 地 址 的 NAT 是 可 见 的 。 

(2) NAT 地 址 转换 过 程 实例 。 

内 部 网 使 用 虚拟 地 址 空间 为 10. 0. 0. 0 一 10. 255. 255. 255, 对 外 拥有 注册 真实 IP 地 址 为 
202. 119. 1.0 一 202. 119. 1.255, 内 部 主机 IH1、IH2 地 址 分 别 设 为 10. 0. 1. 1 和 10. 0. 2. 2 , 另 一 
外 部 网 主机 OH1 地 址 为 202. 112. 196.7 ,网 络 拓扑 结构 如 图 5-11 所 示 。 


相对 于 外 网 的 外 部 

内 部 网 地 址 空间 为 : 起 
202.119.1.0- 
202.119.1.255 


NAT 网 关 | 


OH1: 
202.112.196.7 


图 5-11 NAT 地 址 转换 实例 示意 


当 内 部 网 主机 IH1 与 外 部 网 主机 OH1 建立 联系 时 ,由 于 网 关 对 外 将 其 映射 为 一 注册 
的 真实 地 址 202. 119. 1. 23 ,所 以 它 的 IP 包头 中 的 IP 地 址 在 网 关 处 被 转换 成 这 一 地 址 。 于 
是 会 产生 如 图 5-12 所 示 的 IP 数据 包 : 

@ 图 5-12(a) 为 IH1 发 出 的 卫 包 。 

@ 经 过 网 关 后 被 转换 为 图 5-12(b) 的 形式 。 

@ 图 5-12(c) 为 其 返回 的 IP 包 形 式 。 

@ 进入 网 关 后 转换 为 图 5-12(d) 的 形式 。 

在 以 上 的 包 传 输 过 程 中 ,内 部 的 虚拟 地 址 10. 0. 1. 1 与 外 部 的 真实 地 址 202. 119. 1. 23 
之 间 构 成 一 一 对 应 关系 ,经 过 网 关 时 须 进 行 必要 的 转换 工作 ,这 正 是 NAT 技术 名 称 的 由 
来 。 但 内 部 主机 (IH1、IH2) 之 间 的 连接 直接 使 用 虚拟 地 址 而 不 需要 经 过 网 关 的 转换 。 

(3) 静态 NAT 和 动态 NAT。 

根据 NAT 工作 模式 ,可 分 为 静态 NAT 和 动态 NAT 两 种 。 静 态 NAT 是 指 内 部 网 络 
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Source Destination 
10.0.1.1 202.112.196.7 Data 

(a) 
Source Destination 
202.119.1.23 202.112.196.7 Data 

(b) 
Source Destination 
202.112.196.7 202.119.1.23 Data 

(9) -ye 
Source Destination 
202.112.196.7 10.0.1.1 Data 

(d) 


图 5-12 IP 包 头 中 IP 地址 转换 成 IP 数据 包 


的 私有 IP 地 址 转换 为 真实 IP 地 址 ,IP 地 址 映射 是 一 对 一 的 ,是 事先 由 管理 员 配 置 好 的 , 某 
个 私有 IP 地 址 只 转换 为 某 个 真实 IP 地 址 ,如 图 5-13(a) 所 示 。 借 助 于 静态 NAT, 可 以 实现 
具有 内 部 私有 IP 地 址 的 内 网 机 器 对 外 部 网 络 ( 如 Internet) 的 访问 ,图 5-12 地 址 翻译 属于 静 
态 NAT。 


拥有 的 IP 地 址 
201.12.10.1 ee 
201.12.10.2 静态 配置 10.10.1.1 
201.12.10.3 NAT 表 
201.12.10.1 < 一 > 10.10.1.1 el 
4 
所 2 一 > 10.10.1.2 
一 > 10.10.1.3 
(a) 静态 NAT 10.10.1.3 
拥有 的 IP 地 址 BS 
201.12.10.1 志 太 页 Ta 
201.12.102 四 i 10.10.1.1 
地 址 转换 表 el 
201.12.10.1:3001 <—> 10.10.1.1:3001 <s 


201.12.10.2:3002 <—> 10.10.1.2:3002 
201.12.10.1:3003 <—> 10.10.1.3:3003 


I 


(b) 动态 NAT 10.10.1.3 
图 5-13 静态 NAT 和 动态 NAT 示意 


动态 NAT 是 指 内 部 网 络 的 私有 IP 地 址 转换 为 真实 IP 地 址 时 ,IP 地 址 转换 是 随机 的 ， 
如 图 5-13(b) 所 示 。 实 际 上 ,首先 为 NAT 系统 的 IP 地 址 缓冲 池 配 置 一 个 或 多 个 真实 IP 地 
址 , 当 内 部 私有 IP 地 址 访问 外 网 时 .NAT 系统 随机 从 IP 地 址 缓冲 池 取 出 一 个 真实 的 IP 地 
址 为 这 次 访问 进行 地 址 翻译 。 如 果 同 时 需要 进行 的 访问 多 于 缓冲 池 中 地 址 时 ,可 以 借助 于 
端口 号 ,实际 上 就 是 将 一 个 内 部 IP 地 址 映射 成 真实 IP 地 址 及 端口 号 的 映射 关系 表 ,确保 完 
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成 地 址 翻译 。 
5.1.3 其 他 防火 墙 


个 人 防火 墙 (Private Firewall) 是 一 种 能 够 保护 个 人 计算 机 系统 安全 的 软件 , 它 可 以 直 
接 在 用 户 的 计算 机 上 安装 .运行 ,使 用 与 状态 /动态 检测 防火 墙 相同 的 方式 ,保护 一 台 计算 机 
免 受 攻击 。 通 常 ,这 些 防火 墙 是 安装 在 计算 机 网 络 接口 的 较 低级 别 上 ,这 使 得 它们 可 以 监视 
传人 / 传 出 网 卡 的 所 有 网 络 通信 。 现 在 网 络 上 流传 的 很 多 个 人 防火 墙 软件 都 是 应 用 程序 
级 的 。 

因为 传统 的 防火 墙 设置 在 网 络 边界 ,处 于 内 、 外 网 络 之 间 , 所 以 称 为 "边界 防火 墙 >。 随 
着 人 们 对 网 络 安全 防护 要 求 的 提高 ,边界 防火 墙 明 显 达 不 到 要 求 , 因 为 给 网 络 带 来 安全 威胁 
的 不 仅 是 外 部 网 络 ,更 多 的 是 来 自 内 部 网 络 。 但 边界 防火 墙 无 法 对 内 部 网 络 实现 有 效 保护 ， 
正 是 基于 这 个 原因 ,产生 了 分 布 式 防火 墙 (Distributed Firewall) 技 术 。 分 布 式 防火 墙 技术 
可 以 很 好 地 解决 边界 防火 墙 的 不 足 问题 ,把 防火 墙 的 安全 防护 系统 延伸 到 网 络 中 的 各 台 主 
机 。 分 布 式 防火 墙 负责 对 网 络 边 界 、 各 子 网 和 网 络 内 部 节点 之 间 的 安全 防护 。 分 布 式 防火 
墙 是 一 个 完整 的 系统 ,而 不 是 单一 的 产品 。 根 据 需 要 完成 的 功能 ,分 布 式 防火 墙 主要 包括 网 
络 防 火 墙 (Network Firewall)、 主 机 防火 墙 (Host Firewall) 和 中 心 管理 (Center Management) 
部 分 。 
5.1.4 防火 墙 的 作用 

防火 墙 作 为 重要 的 网 络 安全 设备 主要 有 以 下 作用 。 

1. 网 络 流量 过 滤 

网 络 流量 过 滤 是 防火 墙 最 主要 的 功能 。 通 过 在 防火 墙 上 进行 安全 规则 配置 ,可 以 
对 流 经 防火 墙 的 网 络 流量 进行 过 滤 。 安 全 规则 是 依据 安全 策略 精心 设计 的 ,防火 墙 严 
格 执行 安全 检查 ,这 样 只 要 符合 安全 规则 的 网 络 流量 才能 通过 ,大 大 提高 了 局 域 网 的 
安全 性 。 

2. 网 络 监控 审计 

如 果 所 有 的 访问 都 经 过 防火 墙 ,那么 防火 墙 就 能 记录 下 这 些 访 问 并 生成 网 络 访问 日 志 ， 
同时 也 能 提供 网 络 使 用 情况 的 统计 数据 。 当 出 现 可 疑 的 网 络 访问 时 ,防火 墙 能 及 时 地 发 出 
警报 ,并 提供 可 以 访问 的 详细 信息 。 防 火 墙 可 以 作为 收集 一 个 网 络 使 用 情况 的 绝 佳 点 ,将 所 
收集 的 有 关 信 息 提供 给 其 他 安全 模块 ,必要 时 根据 需要 阻 断 网 络 连 接 访 问 ,与 其 他 安全 模块 
形成 联动 系统 。 

3. 支持 NAT 部 署 

NAT(Network Address Translation, 网 络 地 址 翻译 ) 是 用 来 缓解 地 址 空间 短缺 的 主要 
技术 之 一 。 由 于 防火 墙 处 于 内 、 外 网 的 阻塞 点 上 ,是 实施 NAT 部署 的 理想 场所 。 

4. 支持 DMZ 

DMZ 是 英文 Demilitarized Zone 的 缩写 ,中 文 名 称 为 “隔离 区 ”, 也 称 “ 非 军事 化 区 ”。 它 
是 设立 在 非 安全 系统 与 安全 系统 之 间 的 缓冲 区 ,这 个 缓冲 区 位 于 企业 内 部 网 络 和 外 部 网 络 
之 间 的 小 网 络 区 域内 ,可 以 放置 一 些 必 须 公 开 的 服务 器 设施 ,如 企业 Web 服务 器 .FTP 服 
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务 器 等 。 

5. 支持 VPN 

通过 VPN(Virtual Private Network .虚拟 私有 网 络 ) ,企业 可 以 将 分 布 在 各 地 的 局 域 网 
有 机 地 连 成 一 个 整体 ,不 仅 省 去 了 租用 专用 通信 线路 的 费用 ,而 且 为 信息 共享 提供 了 安全 技 
术 保障 。 

图 5-14 为 一 个 典型 的 企业 防火 墙 应 用 实例 。 在 该 企业 网 络 中 由 于 应 用 了 防火 墙 ,一 举 
解决 了 网 络 流量 过 滤 及 审计 、 地 址 短缺 ,远程 安全 内 网 访问 以 及 DMZ 部 署 问题 。 


Web ”FTP 电子 商务 


图 5-14 典型 企业 防火 墙 应 用 示意 


5.2 防火 墙 的 体系 结构 


在 介绍 防火 墙 系统 体系 结构 之 前 , 先 对 防火 墙 体系 结构 中 常见 的 术语 进行 简要 说 明 。 

1. 非 军 事 区 

为 了 配置 和 管理 方便 ,通常 将 内 部 网 中 需要 向 外 部 提供 服务 的 服务 器 设置 在 单独 的 网 
段 ,这 个 网 段 被 称 为 非 军事 区 (DeMilitarized Zone,DMZ) ,也 被 称 为 周边 网 络 , 图 5-15 是 
DMZ 示意 图 。DMZ 是 周边 网 络 ,是 指 在 内 部 网 络 、 外 部 网 络 之 间 增 加 的 一 个 网 络 , 对 外 提 
供 服 务 的 各 种 服务 器 都 可 以 放 在 这 个 网 络 里 。DMZ 隔离 内 外 网 络 ,并 为 内 外 网 之 间 的 通信 
起 到 缓冲 作用 。 周 边 网 络 的 存在 ,使 得 外 部 用 户 访问 服务 器 时 不 需要 进入 内 部 网 络 ,而 内 部 
网 络 用 户 对 服务 器 维护 工作 导致 的 信息 传递 也 不 会 泄露 至 外 部 网 络 ; 同时 ,周边 网 络 与 外 
部 网 络 或 内 部 网 络 之 间 都 存在 着 数据 包 过 滤 ,这 样 为 外 部 用 户 的 攻击 设置 了 多 重 障碍 ,确保 
了 内 部 网 络 的 安全 。 

2. 堡垒 主机 

在 防火 墙 体系 结构 中 ,经常 提 到 堡 人 又 主机 (Bastion Host, 如 图 5-15 所 示 )。 堡 全 主机 得 
名 于 古代 战争 中 用 于 防守 的 坚固 保全 , 它 位 于 内 部 网 络 的 最 外 层 , 像 保全 一 样 对 内 部 网 络 进 
行 保 护 。 堡 又 主机 是 一 种 配置 了 安全 防范 措施 的 网 络 上 的 计算 机 ,为 网 络 之 间 的 通信 提供 
了 一 个 阻塞 点 。 如 果 没 有 堡垒 主机 ,网 络 之 间 将 不 能 相互 访问 。 堡 公主 机 是 指 可 能 直接 面 
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内 部 网 络 


图 5-15 DMZ 示意 


对 外 部 用 户 攻击 的 主机 系统 ,在 防火 墙 体系 结构 中 ,堡垒 主机 要 高 度 暴 露 , 是 网 络 上 最 容易 
遭受 非法 入 侵 的 设备 。 所 以 防火 墙 设计 者 和 管理 人 员 需 要 致力 于 堡 双 主机 的 安全 ,而 且 在 
运行 期 间 对 堡垒 主机 的 安全 要 给 予 特别 的 注意 。 一 般 来 说 , 保 人 又 主机 上 提供 的 服务 越 少 越 
好 ,因为 每 增加 一 种 服务 就 增加 了 被 攻击 的 可 能 性 。 

3. 双重 宿主 主机 

双重 宿主 主机 是 指 至 少 拥有 两 个 以 上 网 络 接口 且 每 个 网 络 接口 连接 不 同 的 网 络 的 计算 
机 系统 ,因此 也 称 为 多 穴 主 机 系统 。 一 般 来 说 ,双重 宿主 主机 是 实现 多 个 网 络 之 间 互 连 的 关 
键 设备 ,如 网 桥 是 在 数据 链 路 层 实现 互 连 的 双重 宿主 主机 ,路 由 器 是 在 网 络 层 实现 互 连 的 双 
重 宿主 主机 ,应 用 层 网 关 是 在 应 用 层 实 现 互 连 。 

防火 墙 的 经 典 体 系 结构 主要 有 双 宿 主 主 机 体系 结构 、 被 屏蔽 主机 体系 结构 和 被 屏蔽 子 
网 体系 结构 三 种 形式 。 


5.2.1 双 宿 主 主机 体系 结构 


双 宿 主 主 机 (Dual-Homed Host) 体 系 结构 如 图 5-16 所 示 。 双 宿主 主机 位 于 内 部 网 和 
Internet 之 间 ,一 般 来 说 ,是 用 一 台 装 有 两 块 网 卡 的 保 垒 主机 做 防火 墙 。 这 两 块 网 卡 各 自 与 
受 保护 网 和 外 部 网 相连 ,分 别 属于 内 外 两 个 不 同 的 网 段 。 保 又 主 机 上 和 运行 着 防火 墙 软件 ,可 
以 转发 应 用 程序 ,提供 服务 等 , 保 人 又 主机 的 系统 软件 可 用 于 维护 系统 日 志 。 双 宿主 主机 这 种 
体系 结构 非常 简单 ,一 般 通 过 代理 (Proxy) 来 实现 ,或 者 通过 用 户 直接 登录 到 该 主机 来 提供 
服务 。 


Bo a 


图 5-16” 双 宿主 主机 体系 结构 
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1. 双 宿 主 主机 体系 结构 的 特点 

双 宿 主 主机 体系 结构 具有 如 下 特点 : 防火 墙 主体 是 带 有 内 部 网 络 和 外 部 网 络 接口 主机 
系统 , 双 宿 主 主 机 具备 成 为 内 部 网 络 和 外 部 网 络 之 间 路 由 器 的 条 件 。 但 是 ,在 内 部 网 络 与 外 
部 网 络 之 间 ,数据 包 转 发 进程 是 被 禁止 运行 的 。 为 了 达到 防火 墙 的 基本 效果 ,在 双 宿 主 主机 
系统 中 ,任何 路 由 功能 都 是 禁止 的 。 双 宿主 主机 采用 应 用 代理 防火 墙 技术 ,内 部 网 络 用 户 通 
过 客户 端 代 理 软件 访问 外 部 网 络 资源 ,或 者 直接 登录 双 宿 主 主机 成 为 一 个 用 户 ,利用 该 主机 
直接 访问 外 部 资源 。 

2. 双 宿 主 主 机 体系 结构 的 优点 

双 宿 主 主 机 体系 结构 具有 如 下 优点 : 网 络 结构 比较 简单 ,由 于 内 、 外 网 络 之 间 没 有 直接 
的 数据 交互 而 较为 安全 ; 内 部 用 户 账号 可 以 有 效 控制 外 部 资源 ; 由 于 应 用 代理 机 制 的 采用 
方便 地 形成 应 用 层 的 数据 与 信息 过 滤 。 

3. 双 宿 主 主机 体系 结构 的 缺点 

双 宿 主 主机 体系 结构 具有 如 下 缺点 : 用 户 需 要 登录 到 主机 才能 访问 外 部 资源 ,主机 资 
源 消耗 较 大 ,用 户 访问 外 部 资源 较为 复杂 ; 用 户 机 制 存在 安全 隐患 ,并且 内 部 用 户 无 法 借助 
于 该 体系 结构 访问 新 的 服务 ; 一 旦 外 部 用 户 入 侵 双 宿主 主机 , 则 导致 内 部 网 络 处 于 不 安全 


5.2.2 被 屏蔽 主机 体系 结构 


被 屏蔽 主机 体系 结构 是 指 通过 一 个 单独 的 路 由 器 和 内 部 网 络 上 的 堡垒 主机 共同 构成 防 
火 墙 , 主 要 通过 数据 包 过 滤 技 术 实现 内 .外 网 络 的 隔离 和 对 内 网 的 保护 。 一 个 典型 的 被 屏蔽 
的 主机 体系 结构 如 图 5-17 所 示 。 在 被 屏蔽 主机 体系 结构 中 ,有 两 道 屏 障 : 一 是 屏蔽 路 由 
器 ,二 是 堡垒 主机 。 屏 项 路 由 器 位 于 网 络 最 边缘 ,负责 与 外 网 实施 连接 ,参与 外 网 的 路 由 计 
算 。 屏 项 路 由 器 仅 提供 路 由 和 数据 包 过 滤 功 能 ,因此 屏蔽 路 由 器 本 身 较为 安全 。 由 于 屏蔽 
路 由 器 的 存在 ,堡垒 主机 不 再 是 直接 与 外 网 互 连 的 双 宿 主 主机 ,增加 了 系统 的 安全 性 。 


屏蔽 主机 防火 墙 


内 部 网 络 
全 
图 5-17 被 屏蔽 主机 体系 结构 
堡垒 主机 位 于 内 部 网 络 .是 唯一 可 以 连接 到 外 部 网 络 系统 的 主机 ,也 是 外 部 用 户 访问 内 
部 网 络 资源 必须 经 过 的 主机 设备 。 堡 人 又 主机 通过 数据 包 过 滤 实 现 对 内 部 网 络 的 防护 ,并 且 


仅仅 允许 通过 特定 的 服务 连接 。 堡 从 主机 可 以 提供 代理 功能 ,内 部 用 户 只 能 通过 应 用 代理 
访问 外 部 网 络 , 堡 从 主机 成 为 外 部 用 户 唯 一 可 以 访问 的 内 部 主机 。 
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1. 被 屏蔽 主机 体系 结构 的 优点 

被 屏蔽 主机 体系 结构 具有 如 下 优点 : 

(1) 具有 更 高 的 安全 特性 。 由 于 屏蔽 路 由 器 在 堡垒 主机 之 外 提供 数据 包 过 滤 功 能 ,使 
得 堡垒 主机 要 比 双 宿主 主机 相对 安全 ,存在 漏洞 的 可 能 性 较 小 ; 同时 ,堡垒 主 机 的 数据 包 过 
滤 功 能 限制 外 部 用 户 只 能 访问 特定 主机 上 的 特定 服务 ,在 提供 服务 的 同时 仍然 保证 了 内 部 
网 络 的 安全 。 

(2) 内 部 网 络 用 户 访问 外 部 网 络 方便 灵活。 在 屏蔽 路 由 器 和 堡垒 主机 人 允许 的 情况 下 ， 
用 户 直接 访问 外 部 网 络 。 如 果 屏 蔽 路 由 器 和 堡垒 主机 不 允许 ,内 部 用 户 通 过 堡垒 主机 代理 
服务 访问 外 部 资源 。 在 实际 应 用 中 ,两 种 方式 综合 运用 ,访问 不 同 服务 采用 不 同 的 方式 。 

(3) 由 于 保健 主机 和 屏蔽 路 由 器 的 同时 存在 ,使 得 堡 鸡 主机 可 以 从 部 分 安全 事务 中 解 
脱出 来 ,从 而 可 以 以 更 高 的 效率 提供 数据 包 过 滤 或 代理 服务 。 

2. 被 屏蔽 主机 体系 结构 的 缺点 

被 屏蔽 主机 体系 结构 具有 如 下 缺点 : 在 被 屏蔽 主机 体系 结构 中 ,外 部 用 户 在 被 允许 的 
情况 下 可 以 访问 内 部 网 络 ,这样 就 存在 着 一 定 的 安全 隐患 ， 与 双 宿 主 主机 体系 一 样 ,一 旦 用 
户 和 人 侵 煲 又 主机 ,就 会 导致 内 部 网 络 处 于 不 安全 状态 ; 路 由 器 和 堡垒 主机 的 过 滤 规 则 配置 
较为 复杂 , 较 容易 形成 错误 和 漏洞 。 


5.2.3 被 屏蔽 子 网 体系 结构 


在 双 宿 主 主 机 体系 结构 和 被 屏蔽 主机 体系 结构 中 ,主机 是 最 主要 的 安全 缺陷 ,一 旦 主机 
被 人 侵 , 则 整个 内 部 网 络 都 处 于 威胁 之 中 ,为 解决 这 种 安全 隐患 ,出现 了 被 屏蔽 子 网 体系 结 
构 。 被 屏蔽 子 网 体系 结构 将 防火 墙 的 概念 扩充 至 一 个 由 两 台 路 由 器 包围 起 来 的 特殊 网 络 , 即 
周边 网 络 ,并 且 将 保 垒 主机 都 置 于 周边 网 络 中 。 一 个 典型 的 被 屏蔽 子 网 体系 结构 如 图 5-18 
所 示 。 
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图 5-18 被 屏蔽 子 网 体系 结构 
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被 屏蔽 子 网 体系 结构 防火 墙 比较 复杂 ,主要 包括 四 个 部 件 : 周边 网 络 、 外 部 路 由 器、 内 
部 路 由 器 和 堡垒 主 机 。 

(1) 周边 网 络 。 

周边 网 络 是 位 于 不 可 信 外 部 网 络 与 可 信 内 部 网 络 之 间 的 一 个 附加 网 络 。 周 边 网 络 与 外 
部 网 络 .周边 网 络 与 内 部 网 络 之 间 通 过 屏蔽 路 由 器 实现 逻辑 隔离 ,因此 外 部 用 户 必须 穿越 两 
道 屏蔽 路 由 器 才能 访问 内 部 网 络 。 一 般 情况 下 ,外 部 用 户 不 能 访问 内 部 网 络 , 仅 能 够 访问 周 
边 网 络 中 的 资源 ,由 于 内 部 用 户 间 通信 的 数据 包 不 通过 屏蔽 路 由 器 传递 至 周边 网 络 ,外 部 用 
户 即 使 入 侵 了 周边 网 络 中 的 堡 爸 主机 ,也 无 法 监听 到 内 部 网 络 的 信息 。 

(2) 外 部 路 由 器 。 

外 部 路 由 器 的 主要 作用 在 于 保护 周边 网 络 和 内 部 网 络 ,是 屏蔽 子 网 体系 结构 的 第 一 道 
屏障 。 在 其 上 设置 了 针对 外 网 用 户 对 周边 网 络 和 内 部 网 络 访问 的 过 滤 规 则 。 例 如 ,限制 外 
网 用 户 仅 能 访问 周边 网 络 不 能 访问 内 部 网 络 ,或 者 仅 能 访问 内 部 网 络 中 的 部 分 主机 。 外 部 
路 由 器 不 过 滤 周 边 网 络 内 发 出 的 数据 包 , 因 为 数据 包 来 自 堡 侄 主机 或 内 部 路 由 器 过 滤 后 的 
内 部 主机 数据 包 。 外 部 路 由 器 复制 内 部 路 由 器 上 的 规则 ,以 避免 内 部 路 由 器 失效 而 造成 负 
面 影响 。 

(3) 内 部 路 由 器 。 

内 部 路 由 器 用 于 隔离 周边 网 络 和 内 部 网 络 ,是 屏蔽 子 网 体系 结构 的 第 二 道 屏 障 。 在 其 
上 设置 了 针对 内 部 用 户 对 周边 网 络 和 外 部 网 络 访问 的 过 滤 规 则 。 例 如 ,部 分 内 部 网 络 用 户 
只 能 访问 周边 网 络 不 能 访问 外 部 网 络 等 。 内 部 路 由 器 复制 了 外 部 路 由 器 上 的 内 网 过 滤 规 
则 ,以 防止 外 部 路 由 器 过 滤 功 能 失效 而 造成 的 严重 后 果 。 内 部 路 由 器 还 要 限制 周边 网 络 的 
堡垒 主机 和 内 部 网 络 之 间 的 访问 ,减少 保佑 主机 被 入 侵 后 可 以 影响 的 内 部 主机 数量 和 服务 
的 数量 。 

(4) 堡垒 主机 。 

在 被 屏蔽 子 网 结构 中 ,堡垒 主机 位 于 周边 网 络 , 向 外 部 用 户 提供 WWW、FTP 等 服务 ， 
接受 外 部 网 络 用 户 的 服务 资源 访问 请 求 ,同时 堡 驹 主机 也 向 内 部 网 络 用 户 提 供 DNS、 
WWW 代理 .FTP 代理 等 服务 ,提供 内 部 网 络 用 户 访 问 外 部 资源 的 接口 。 

1. 被 屏蔽 子 网 体系 结构 的 优点 

被 屏蔽 子 网 体系 结构 具有 如 下 优点 : 外 部 路 由 器 和 内 部 路 由 器 构成 了 双 层 防护 体 
系 , 人 侵 者 难以 突破 ; 外 部 用 户 访问 服务 资源 时 无 须 进 入 内 部 网 络 ,在 保证 服务 的 情况 下 
提高 了 内 部 网 络 的 安全 性 ; 外 部 路 由 器 和 内 部 路 由 器 过 滤 规 则 复制 ,避免 了 由 于 某 台 路 
由 器 失效 产生 的 安全 隐患 ; 堡垒 主机 由 外 部 路 由 器 的 过 滤 规 则 和 本 机 安全 机 制 共 同 防 
护 , 用 户 只 能 访问 它 提供 的 服务 ; 即使 人 侵 者 通过 保全 主机 的 服务 缺陷 控制 了 堡垒 主机 ， 
由 于 内 部 路 由 器 将 内 部 网 络 和 周边 网 络 隔离 ,入侵 者 无 法 通过 监听 周边 网 络 获取 内 部 网 
络 信息 。 

2. 被 屏蔽 子 网 体系 结构 的 缺点 

被 屏蔽 子 网 体系 结构 具有 如 下 缺点 : 构建 被 屏蔽 子 网 体系 结构 的 成 本 较 高 ; 被 屏蔽 子 
网 体系 结构 的 配置 较为 复杂 ,容易 出 现 配置 错误 导致 的 安全 隐患 。 


140 信息 安全 基础 


5.3 商用 防火 墙 实例 


瑞星 个 人 防火 墙 v16 针对 目前 流行 的 黑客 攻击 、 多 账号 管理 、 上 网 保护 、 模 块 检查 、 可 疑 
文件 定位 、 网 络 可 信和 区域 设置 和 IP 追踪 等 技术 ,帮助 用 户 有 效 抵御 黑客 攻击 、 网 络 诈骗 等 安 
全 风险 。 瑞 星 个 人 防火 墙 以 变频 杀毒 引擎 为 核心 ,通过 变频 技术 使 电脑 得 到 安全 保证 的 同 
时 ,又 大 大 降低 资源 占用 ,让 计算 机 更 加 轻便 。 瑞 星 个 人 防火 墙 主要 功能 : 网 络 攻击 拦 
截 一 一 阻止 黑客 攻击 系统 对 用 户 造 成 的 危险 ; 出 站 攻击 防御 一 一 最 大 程度 解决 “肉鸡 ”和 
“网 络 僵尸 ”对 网 络 造 成 的 安全 威胁 ; 恶意 网 址 拦截 一 一 保护 用 户 在 访问 网 页 时 ,不 被 病毒 
及 钓鱼 网 页 侵害 。 

为 解决 网 络 上 黑客 攻击 问题 而 研制 的 个 人 信息 安全 产品 ,具有 完备 的 规则 设置 ,能 有 效 
地 监控 任何 网 络 连接 ,保护 网 络 不 受 黑客 的 攻击 。 图 5-19 为 瑞星 v16 个 人 防火 墙 主 界面 ， 
左 侧 窗 格 显示 “网 络 监控 ”"“ 网 络 安全 ”和 “辅助 工具 ”, 右 侧 窗 格 显示 “ 网 络 监控 ”包括 的 “网 
速 保护 "“ADSL 优化 ”“ 网 络 查看 器 ”“ 广 告 过 滤 ”“ 流 量 统 计 ” 和 “ 防 蹦 网 ”等 。 


3 
2 自 SE 人 了 < 
二 改 卫 入 包 瑞 
一 rm | Cy 
首页 网 洛 安全 家 长 控制 防火 过 规则 小 工具 安全 次 息 
| 全 部 工具 瑞星 提供 多 种 实用 工具 ， 每 种 工具 都 有 独 符 的 用 途 ， 请 恨 据 您 的 需要 选择 使 用 , 夺 二 | :: 楼 式 


国 世 Ee 


为 保护 程序 争取 到 网 于 访问 网 阁 对 ADSL 网 络 统一 管理 , 均衡 分 本 
N,N 食 食 食 食 食 10.00 ”立即 运行 会 食 食 会 会 10.00 ”立即 运行 
| I 
网 络 查看 器 联网 程序 
可 看 网 次 连 按 信 息 国 提供 针对 本 机 联网 程序 的 查看 与 管理 
会 会 会 会 会 10.00 立即 运行 会 会 会 会 会 10.00 立即 运行 
广告 过 尖 滩 量 统计 
人 A 从 此 免 委 广告 之 护 | 提供 对 上 网 流量 及 时 间 的 统计 与 管理 
会 会 会 会 会 10.00 立即 运行 会 会 会 会 会 10.00 立即 运行 
防 册 网 
送 锡 天生 主机 侵入 无 线 网 络 次 用 流量 
< 从 会 会 会 会 10.00 立即 运行 


图 5-19 ”瑞星 个 人 防火 墙 界面 


“网 络 安全 ”包括 了 拦截 恶意 下 载 、 木 马 网 页 、 跨 站 脚本 攻击 、 网 络 隐 身 和 ARP 欺骗 防 
御 等 ,如 图 5-20 上 侧 窗口 所 示 。 同 时 ,也 可 以 设置 “联网 程序 规则 ?“IP 规则 ”等 ,如 图 5-20 
下 侧 窗口 所 示 。 

图 5-21 显示 了 ”日 志 管理 ”的 查看 规则 ,可 以 很 方便 地 备份 .刷新 和 清空 等 。 
图 5-22 所 示 为 “网 络 安全 ”F“IP 规则 ”设置 界面 ,上 侧 窗 口 显 示 联 网 设置 规则 ,下 侧 窗 
口 显示 IP 包 过 滤 端 口 设置 。 图 5-23 显示 应 用 程序 访问 规则 设置 。 
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家 长 注 制 


拦 茂 委 意 下 载 
拦 杞 木马 网 页 
拦 若 跨 站 脚本 攻击 
拦截 钓鱼 风 诈 网 站 


搜索 引擎 结果 检查 


ARP 取 骇 防御 
拦 蕊 网 络 入 侵 攻 二 
网 阁 隐 身 在 网 阁 上 ' 人 隐身 


阻止 对 外 攻击 阻止 本 机 对 外 进 


防火 境 规 则 


安全 上 | 


小 工具 


网 防护 


首页 


网 络 安全 


联网 程序 规则 Ip 规 则 


程序 名 称 
i I Generic Host Process for Win32 Services 
@ DD LSA Shell (Export Version) 
@ DD Application Layer Gateway Service 
国 着 Internet Explorer 
@ © Windows Media Player 
男 响 Outlook Express 
@ @ Firefox 
男 屹 ravmond 
曾 人 updater Application 
男 思 Rising Installation Program 


@ DD Rsstub Application 


小 工具 安全 资讯 
规则 生效 优先 级 | 联网 程序 规则 优先 ”~ | 

樟 块 数 路 径 人 所 

0 cwindows\system32\svchostexe 

0 cc\windows\system32\lsass.exe 

0 cc\windows\system32\alg.exe 

0 c\program files\internet explorer\iexplore.exe 

0 c\program files\windows media player\wmplayer.exe 

0 c\program files\outlook express\msimn.exe 

0 ci\program files\mozilla firefox\firefox.exe 

0 c\program files\ising\rfiw\ravmond.exe 

0 。 cNprogram files\rising\rsd\updater.exe 

cNprogram files\rising\rsd\setup.exe 
0 cNprogram files\rising\rsd\rsstub.exe 本 
修改 出 除 导入 导出 清理 无 效 规则 
(b) 


图 5-20 网络 安 全 设置 窗口 
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这 里 记录 了 防火 壤 所 有 拦 医 、 升 级 等 事件 日 志 另存 为 刷新 
按 分 类 坦 看 : 全 部 日 志 ~ 上 和 臣 村 间 坦 看 中 。 全 部 记录 
时 间 训 件 结果 
| 
| 
详细 搞 述 : 


5-21 日 志 管理 


TP 规则 规则 生效 优先 绍 卫 网 程序 损 则 优先 。 ~ 
状态 胸围 协议 远程 蕊 口 本 地 该 口 * 
图 区 许 域名 解析 放行 ”所 有 1p 包 UDP 53, 任 要 江口 
加 允许 动态 P Upp 67-68 67 -人 
] 允许 SNMP UDp ED 161 
tfVPN GREM 议 放行 所 有 Ip 亿 GRE 
国 NeFVPN APWiR AH 
9 从 洗 IKE VPN 放行 Y 所 有 IP 包 UDP 500, 500, 
eiF PPTP VPN 放行 ”所 有 lp 但 Tc 1024-65535, 1723 
FLZTP VPN Top 1024-65535 1701 
区 证 HPR tte 
交 许 BTT 蝶 6681-6890, 
图 允许 ping 出 全 时 应 等) 本 
导出 你 生计 认 


壹 十 BL 上 冬 件 


(b) 


图 5-22 JIP 包 过 滤 设 置 
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首页 网 络 安全 家 长 控制 


联网 程序 规则 了 规则 


程序 名 称 | 
男 闪 Generic Host Process for Win32 Services 
@ DD LSA shell (Export Version) @ Le 
DD Application Layer Gateway Service 
程序 路 径 : c\program files\mozilla firefox\firefox.exe 


BD lernet Explorer 公司 名 称 : Mozilla Corporation 
S © Windows Media player 文件 版 本 : 28.0 


国 响 Outlook Express 


联网 控制 : 【放行 
@ Firefox -4 
全 和 mmond 国 允许 Listen ( 程序 作为 服务 运行 ) 
男 入 updater Application 日 局 用 防 复 改 保护 
转 加 Rising Installation Program 确定 取消 
LE 
党 加 收 改 制 除 导入 导出 清理 无 效 规 则 


5-23 ”应 用 程序 访问 规则 设置 


5.4 人 侵 检 测 技术 


入 侵 检测 系统 (Intrusion Detection System,IDS) 作 为 一 种 积极 主动 的 安全 防护 手段 ， 
在 保护 计算 机 网 络 和 信息 安全 方面 发 挥 着 重要 的 作用 。 入 侵 检测 是 监测 计算 机 网 络 和 系统 
以 发 现 违反 安全 策略 事件 的 过 程 。 入 侵 检测 系统 工作 在 计算 机 网 络 系统 的 关键 节点 上 , 通 
过 实施 收集 和 分 析 计 算 机 网 络 或 系统 中 的 信息 ,来 检查 是 否 出 现 违反 安全 策略 的 行为 和 遭 
到 袭击 的 迹象 ,进而 达到 防治 攻击 、 预 防 攻 击 的 目的 。 


5.4.1 入 侵 检测 概述 


入 侵 检 测 系 统 通 过 对 网 络 中 的 数据 包 或 主机 的 日 志 等 信息 进行 提取 、 分 析 , 发 现 入侵 和 
攻击 行为 ,并 对 入 侵 或 攻击 做 出 响应 。 入 侵 检 测 系统 在 识别 人 侵 和 攻击 时 具有 一 定 的 智能 ， 
这 主要 体现 在 人 侵 特征 的 提取 和 汇总 ` 响 应 的 合并 与 融合 、 在 检测 到 入 侵 后 能 够 主动 采取 响 
应 措施 等 方面 ,所 以 说 入 侵 检测 系统 是 一 种 主动 防御 技术 。 

1. IDS 的 产生 

国际 上 在 20 世纪 70 年 代 就 开始 了 对 计算 机 和 网 络 遭 受 攻击 进行 防范 的 研究 ,审计 跟 
踪 是 当时 的 主要 方法 。1980 年 4 月 ,James P. Anderson 为 美国 空军 做 了 一 份 题 为 
Computer Security Threat Monitoring and Surveillance (计算 机 安全 威胁 监控 与 监视 ) 的 
技术 报告 ,这 份 报告 被 公认 为 是 入 侵 检 测 的 开山 之 作 , 报 告 里 第 一 次 详细 阐述 了 入 侵 检 测 的 
概念 。 他 提出 了 一 种 对 计算 机 系统 风险 和 威胁 的 分 类 方法 .并 将 威胁 分 为 外 部 渗透 、 内 部 渗 
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透 和 不 法 行为 三 种 ,还 提出 了 利用 审计 跟踪 数据 ,监视 入 侵 活动 的 思想 。 

从 1984 年 到 1986 年 ,Dorothy E. Denning 和 Peter Neumann 研究 并 发 展 了 一 个 实时 

入 侵 检测 系统 模型 ,命名 为 IDES( 入 侵 检测 专家 系统 ) ,为 构架 入 侵 检测 系统 提供 了 一 个 通 
用 的 框架 。1987 年 ,Denning 提出 了 一 个 经 典 的 异常 检测 抽象 模型 ,首次 将 入 侵 检 测 作为 
一 种 计算 机 系统 安全 的 防御 措施 提出 。1988 年 Morris Internet 蠕虫 事件 导致 了 许多 IDS 
的 开发 研制 。1990 年 是 入 侵 检测 系统 发 展 史上 的 一 个 分 水 岭 。 这 一 年 ,加 州 大 学 戴 维 斯 分 
校 的 L. T. Heberlein 等 人 开发 出 了 NSM(Network Security Monitor)。NSM 是 入 侵 检测 
研究 史上 一 个 非常 重要 的 里 程 碑 , 从 此 之 后 ,人 侵 检测 系统 发 展 史 翻 开 了 新 的 一 页 ,两 大 阵 
营 正 式 形 成 : 基于 网 络 的 IDS 和 基于 主机 的 IDS。 
1991 年 ,美国 空军 等 多 部 门 进行 联合 ,开展 对 分 布 式 人 侵 检测 系统 (DIDS) 的 研究 ,将 
基于 主机 和 基于 网 络 的 检测 方法 集成 到 一 起 。DIDS 是 分 布 式 人 侵 检测 系统 历史 上 的 一 个 
里 程 碑 式 的 产品 , 它 的 检测 模型 采用 了 分 层 结构 。1994 年 .Mark Crosbie 和 Gene Spafford 
建议 使 用 自治 代理 (Autonomous Agents) 以 便 提高 IDS 的 可 伸缩 性 、 可 维护 性 ,效率 和 容错 
性 ,该 理念 非常 符合 正在 进行 的 计算 机 科学 其 他 领域 (如 软件 代理 ,Software Agent) 的 研 
究 。1995 年 开发 了 IDES 完善 后 的 版 本 一 一 NGIDS(Next-Generation Intrusion Detection 
System) ,可 以 检测 多 个 主机 上 的 入 侵 。 

2. IDS 的 功能 与 模型 

入 侵 检 测 就 是 监测 计算 机 网 络 和 系统 以 发 现 违反 安全 策略 事件 的 过 程 。 它 通过 在 计算 
机 网 络 或 计算 机 系统 中 的 若干 关键 点 收集 信息 并 对 收集 到 的 信息 进行 分 析 , 从 而 判断 网 络 
或 系统 中 是 否 有 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 完 成 入 侵 检测 功能 的 软件 、 硬 件 组 
合 便 是 入 侵 检测 系统 。 简 单 来 说 ,IDS 包括 3 个 部 分 : 提供 事件 记录 流 的 信息 源 , 即 对 信息 
的 收集 和 预 处 理 ; 入 侵 分 析 引 擎 ; 基于 分 析 引 擎 的 结果 产生 反应 的 响应 部 件 。 

一 般 来 说 ,IDS 能 够 完成 下 列 活动 : 监控 ,分 析 用 户 和 系统 的 活动 ; 发 现 人 侵 企 图 或 异 
常 现象 ; 审计 系统 的 配置 和 弱点 ; 评估 关键 系统 和 数据 文件 的 完整 性 ; 对 异常 活动 的 统计 
分 析 ; 识别 攻击 的 活动 模式 ; 实时 报警 和 主动 响应 。 

IDS 在 结构 上 可 划分 为 数据 收集 和 数据 分 析 两 部 分 。 目 前 ,入 侵 检测 工作 组 (Intrusion 
Detection Working Group,IDWG) 和 通用 入 侵 检 测 框架 (Common Intrusion Detection 
Framework ,CIDF) 负 责 IDS 标准 化 研究 工作 ,将 入 侵 检 测 系统 分 为 四 个 基本 组 件 : 事件 产 
生 器 (Event Generators) 事件 分 析 器 (Event Analyzers) 响应 单元 (Response Units) 和 事 
件数 据 库 (Event Databases) , 提出 了 一 个 和 侵 监 测 系统 的 通用 模型 (如 图 5-24 所 示 )。 
CIDF 体现 了 入 侵 检测 系统 必须 具有 的 体系 结构 : 数据 获取 、 数 据 分 析 , 行 为 响应 和 数据 管 
理 , 因 此 具有 通用 性 。 


5.4.2 入 侵 检 测 系 统 的 基本 原理 


入 侵 检测 系统 是 静态 安全 防御 技术 的 合理 补充 ,帮助 系统 对 付 网 络 攻击 ,扩展 了 系统 管 
理 员 的 安全 管理 能 力 (包括 安全 审计 、 监 视 、 进 攻 识 别 和 响应 ) ,提高 了 信息 安全 基础 结构 的 
完整 性 。 它 从 计算 机 网 络 系统 中 的 若干 关键 点 收集 信息 ,并 分 析 这 些 信息 ,查看 网 络 中 是 否 
有 违反 安全 策略 的 行为 和 遭 到 袭击 的 迹象 。 和 人 侵 检 测 技术 作为 近 20 年 来 出 现 的 一 种 积极 
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事件 产生 器 。 事件 分 析 器 

E 上 一 一 一 | A 

让 sm ) 
事件 数据 库 响应 单元 


5-24 CIDF 入 侵 监 测 模型 


主动 的 网 络 安全 技术 ,是 P*DR 模型 的 一 个 重要 组 成 部 分 。 与 传统 的 加 密 和 访问 控制 等 常 
用 的 安全 方法 相 比 ,入 侵 检测 系统 (IDS) 是 一 种 全 新 的 计算 机 安全 措施 , 它 不 仅 可 以 检测 来 
自 网 络 外 部 的 入 侵 行为 ,同时 也 可 以 检测 来 自 网 络 内 部 用 户 的 未 授权 活动 和 误 操作 ,弥补 了 
防火 墙 的 不 足 , 称 为 防火 墙 之 后 的 第 二 道 安 全 闸门 (如 图 5-25 所 示 )。 


一 ”门卫 或 门 锁 -防火 墙 
图 5-25 入侵 监测 与 防火 墙 的 关系 


攻击 检测 系统 的 工作 流程 可 分 为 信息 收集 ,信息 分 析 和 动作 响应 三 个 阶段 ,这 三 个 阶段 
对 应 的 CIDF 功能 单元 分 别 是 事件 产生 器 、 事 件 分 析 器 和 响应 单元 。 

信息 收集 阶段 的 主要 工作 是 收集 被 保护 网 络 和 系统 的 特征 信息 ,攻击 检测 系统 的 数据 
源 主要 来 自主 机 、 网 络 和 其 他 安全 产品 。 基 于 主机 的 数据 源 主要 有 系统 的 配置 信息 、 系 统 运 
行 状 态 信息 、 系 统 记 账 信息 、 系 统 日 志 、 系 统 安全 性 审计 信息 和 应 用 程序 的 日 志 ; 基于 网 络 
的 数据 源 主要 有 SNMP 信息 和 网 络 通信 数据 包 ; 其 他 攻击 检测 系统 的 报警 信息 、 其 他 网 络 
设备 和 安全 产品 的 信息 也 是 重要 的 数据 源 之 一 。 

信息 分 析 阶 段 的 主要 工作 是 利用 一 种 或 多 种 攻击 检测 技术 对 收集 到 的 特征 信息 进行 有 
效 的 组 织 、 整 理 , 分 析 和 提取 ,从 而 发 现存 在 的 攻击 事件 。 这 种 行为 的 鉴别 可 以 实时 进行 ,也 
可 以 事后 分 析 , 在 很 多 情况 下 ,事后 的 进一步 分 析 是 为 了 寻找 行为 的 责任 人 。 

动作 响应 阶段 的 主要 工作 是 对 信息 分 析 的 结果 做 出 相应 的 响应 。 被 动 响应 是 系统 仅仅 
简单 地 记录 和 报告 所 检测 出 的 问题 ,主动 响应 则 是 系统 要 为 阻塞 或 影响 进程 而 采取 反击 行 
动 。 理 想 的 情况 下 ,系统 的 这 一 部 分 应 该 具有 丰富 的 响应 功能 特性 ,并 且 这 些 响 应 特性 在 针 


息 安全 基础 


En 


146 人 


对 安全 管理 小 组 中 的 每 一 位 成 员 进 行 裁剪 后 ,能 够 为 他 们 提供 服务 。 
5.4.3 入 侵 检 测 系统 的 分 类 


IDS 通过 对 入 侵 行 为 的 过 程 与 特征 进行 研究 ,使 安全 系统 对 入 侵 事 件 和 入 侵 过 程 作出 
实时 响应 。 从 不 同 角度 出 发 ,IDS 的 分 类 也 不 同 。 

1. 按 实现 技术 划分 

如 果 将 所 有 与 正常 行为 的 轨迹 不 同 的 系统 行为 都 视 为 可 疑 的 入 侵 企 图 (例如 ,通过 流量 
统计 分 析 发 现 异常 的 网 络 流量 ) ,这 时 的 发 现 技术 称 为 异常 发 现 技术 ; 如 果 所 有 的 入 侵 手 段 
及 其 行为 轨迹 都 可 以 用 模式 或 特征 加 以 描述 时 ,那么 ,与 正常 行为 模式 不 相 匹 配 的 行为 均 视 
为 可 疑 的 入 侵 行为 ,这 样 的 发 现 技术 称 为 模式 发 现 技术 。 

异常 发 现 技术 的 局 限 是 并 非 所 有 的 和 人 侵 都 表现 为 异常 ,而 且 系统 的 轨迹 也 难于 计算 和 
更 新 。 模 式 发 现 技 术 的 优点 是 误 报 少 , 它 的 局 限 是 只 能 发 现 已 知 的 入 侵 , 对 未 知 的 入 侵 无 能 
为 力 。 

2. 按 数 据 来 源 划 分 

如 果 按 照 IDS 的 数据 来 源 范围 来 划分 ,IDS 分 为 3 类 : 基于 主机 的 IDS(Host IDS， 
HIDS) .基于 网 络 的 IDSCNetwork IDS,NIDS) 和 分 布 式 IDSCDistributed IDS,DIDS) 。 

(1) 基于 主机 的 入 侵 检 测 系统 。 

HIDS 通常 是 安装 在 被 重点 检测 的 主机 之 上 ,主要 是 对 该 主机 的 网 络 实时 连接 以 及 系 
统 审计 日 志 进 行 智能 分 析 和 判断 。 如 果 其 中 主体 活动 十 分 可 疑 ( 特 征 或 违反 统计 规律 )， 
IDS 就 会 采取 相应 措施 。 

HIDS 使 用 验证 记录 ,并 发 展 了 精密 的 可 迅速 做 出 响应 的 检测 技术 。 通 常 , HIDS 可 监 
探 系统 .事件 和 Window NT 下 的 安全 记录 以 及 UNIX 环境 下 的 系统 记录 。 当 有 文件 发 生 
变化 ,IDS 将 新 的 记录 条 目 与 攻击 标记 相 比 较 , 看 是 否 匹 配 。 如 果 匹 配 ,系统 就 会 向 管理 员 
报警 并 向 别 的 目标 报告 ,以 采取 措施 。 

HIDS 在 发 展 过 程 中 融入 了 其 他 技术 。 对 关键 系统 文件 和 可 执行 文件 的 入 侵 检 测 的 一 
个 常用 方法 ,是 通过 定期 检查 校 验 和 来 进行 的 ,以 便 发 现 意外 的 变化 。 反 应 的 快慢 与 轮 询 间 
隔 的 频率 有 直接 关系 。 最 后 ,许多 系统 都 是 监听 端口 的 活动 ,并 在 特定 端口 被 访问 时 向 管理 
员 报 警 。 这 类 检测 方法 将 基于 网 络 的 入 侵 检测 的 基本 方法 融入 到 基于 主机 的 检测 环境 中 。 

尽管 HIDS 不 如 NIDS 快捷 ,但 它 确 实 具有 基于 网 络 的 系统 无 法 比拟 的 优点 。 这 些 优 
点 包括 : 更 好 的 辨识 分 析 、 对 特殊 主机 事件 的 紧密 关注 及 低廉 的 成 本 。 

HIDS 优点 包括 : 

@ 确定 攻击 是 否 成 功 。 由 于 基于 HIDS 含有 已 发 生 事件 信息 , 它 可 以 比 NIDS 更 加 准 
确 地 判断 攻击 是 否 成 功 。 在 这 方面 ,HIDS 是 NIDS 的 完美 补充 ,网 络 部 分 可 以 尽早 提供 警 
告 , 主 机 部 分 可 以 确定 攻击 成 功 与 否 。 

@ 监视 特定 的 系统 活动 。HIDS 监视 用 户 和 访问 文件 的 活动 ,包括 文件 访问 、 改 变 文件 
权限 、 试 图 建立 新 的 可 执行 文件 并 且 试 图 访问 特殊 的 设备 。 

例如 ,HIDS 可 以 监督 所 有 用 户 的 登录 及 上 网 情况 ,以 及 每 位 用 户 在 联结 到 网 络 以 后 的 
行为 ,对 于 NIDS 要 做 到 这 个 程度 是 非常 困难 的 ; HIDS 可 监视 只 有 管理 员 才 能 实施 的 非 正 


第 5 章 网 络 安全 技术 147 


常 行为 ,操作 系统 记录 了 任何 有 关 用 户 账号 的 增加 、 删 除 、 更 改 的 情况 ,只 要 改动 一 旦 发 生 ， 
HIDS 就 能 检测 到 这 种 不 适当 的 改动 ; HIDS 可 以 监视 主要 系统 文件 和 可 执行 文件 的 改变 ， 
系统 能 够 查 出 那些 欲 改写 重要 系统 文件 或 者 安装 特洛伊 木马 或 后 门 的 尝试 并 将 它们 中 断 ， 
而 NIDS 有 时 会 查 不 到 这 些 行为 。 

@ 能 够 检查 到 NIDS 检查 不 出 的 攻击 。HIDS 可 以 检测 到 那些 NIDS 察觉 不 到 的 攻 
击 。 例 如 ,来 自主 要 服务 器 键盘 的 攻击 不 经 过 网 络 ,所 以 可 以 躲 开 NIDS。 

@ 适用 被 加 密 的 和 交换 的 环境 。 交 换 设 备 将 大 型 网 络 分 成 许多 小 型 网 络 加 以 管理 ,从 
覆盖 足够 大 的 网 络 范围 的 角度 出 发 ,很 难 确定 配置 NIDS 的 最 佳 位 置 ,业务 映射 和 交换 机 上 
的 管理 端口 有 助 于 此 ,但 这 些 技术 并 不 适用 。HIDS 可 安装 在 所 需 的 重要 主机 上 ,在 交换 的 
环境 中 具有 更 高 的 能 见 度 。 某 些 加 密 方 式 也 向 NIDS 发 出 了 挑战 。 由 于 加 密 方式 位 于 协议 
堆栈 内 ,所 以 NIDS 可 能 对 某 些 攻击 没有 反应 ,HIDS 没有 这 方面 的 限制 , 当 操作 系统 及 
HIDS 看 到 即将 到 来 的 业务 时 ,数据 流 已 经 被 解密 了 。 

@@ 近 于 实时 的 检测 和 响应 。 尽 管 HIDS 不 能 提供 真正 实时 的 反应 ,但 如 果 应 用 正确 ， 
反应 速度 可 以 非常 接近 实时 。 老 式 系统 利用 一 个 进程 在 预先 定义 的 间隔 内 检查 登记 文件 的 
状态 和 内 容 , 与 老式 系统 不 同 , 当 前 HIDS 的 中 断 指 令 ,这 种 新 的 记录 可 被 立即 处 理 ,显著 减 
少 了 从 攻击 验证 到 作出 响应 的 时 间 ,在 从 操作 系统 作出 记录 到 HIDS 得 到 辨识 结果 之 间 的 
这 段 时 间 是 一 段 延迟 ,但 大 多 数 情况 下 ,在 破坏 发 生 之 前 ,系统 就 能 发 现 人 侵 者 ,并 中 止 他 的 
攻击 。 

@) 不 要 求 额外 的 硬件 设备 。HIDS 存在 于 现行 网 络 结构 之 中 ,包括 文件 服务 器 .Web 
服务 器 及 其 他 共享 资源 ,这 使 得 HIDS 效率 很 高 。 因 为 它们 不 需要 在 网 络 上 另外 安装 硬件 
设备 。 

@ 记录 花费 更 加 低廉 。NIDS 比 HIDS 要 昂贵 得 多 。 

HIDS 弱点 包括 : 

@ 主机 IDS 安装 在 我 们 需要 保护 的 设备 上 ,如 当 一 个 数据 库 服 务 器 要 保护 时 ,就 要 在 
服务 器 本 身上 安装 IDS。 这 会 降低 应 用 系统 的 效率 。 此 外 , 它 也 会 带 来 一 些 额 外 的 安全 问 
题 ,安装 了 HIDS 后 ,将 本 不 允许 安全 管理 员 有 权力 访问 的 服务 器 变 成 他 可 以 访问 的 了 。 

@ HIDS 依赖 于 服务 器 固有 的 日 志 与 监视 能 力 。 如 果 服 务 器 没有 配置 日 志 功 能 , 则 必 
须 重新 配置 ,这 将 会 给 运行 中 的 业务 系统 带 来 不 可 预见 的 性 能 影响 。 

@ 全 面部 署 HIDS 代价 较 大 ,企业 中 很 难 将 所 有 主机 用 HIDS 保护 ,只 能 选择 部 分 主 
机 保护 。 那 些 未 安装 HIDS 的 机 器 将 成 为 保护 的 盲点 ,入 侵 者 可 利用 这 些 机 器 达到 攻击 
目标 。 

@ HIDS 除了 监测 自身 的 主机 以 外 ,根本 不 监测 网 络 上 的 情况 。 对 入 侵 行为 的 分 析 的 
工作 量 将 随 着 主机 数目 增加 而 增加 。 

(2) 基于 网 络 的 人 侵 检测 系统 。 

NIDS ,通过 对 网 络 中 传输 的 数据 包 进 行 分 析 , 从 而 发 现 可 能 的 恶意 攻击 企图 。 一 个 典 
型 的 例子 是 在 不 同 的 端口 检查 大 量 的 TCP 连接 请 求 , 以 此 发 现 TCP 端口 扫描 的 攻击 企图 。 
NIDS 既 可 以 运行 在 仅仅 监视 自己 的 端口 的 主机 上 .也 可 以 运行 在 监视 整个 网 络 状 态 的 处 
于 混杂 模式 的 sniffer 主机 上 。 

目前 ,大 部 分 入 侵 检测 的 产品 是 基于 网 络 的 ,有 多 个 开放 过 滤 代 码 软 件 , 如 snort、 
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NFR、shadow 等 ,其 中 snort 最 著名 ,其 研发 进展 和 更 新 速度 均 超 过 大 部 分 同类 产品 。 

由 于 NIDS 不 以 路 由 器 防火墙 等 关键 设备 方式 工作 , 它 不 会 成 为 网 络 中 的 关键 路 径 。 
NIDS 发 生 故 障 不 会 影响 正常 业务 的 运行 。NIDS 只 检查 它 直接 连接 的 网 段 通信 状态 ,不 检 
测 其 他 网 段 的 数据 包 。 在 交换 式 以 太 网 中 会 出 现 监视 范围 的 局 限 。NIDS 通常 采用 特征 检 
测 手 段 ,对 一 些 复杂 的 计算 与 分 析 攻 击 较 难 检测 到 。 

NIDS 使 用 原始 网 络 包 作为 数据 源 。NIDS 通常 利用 一 个 运行 在 随机 模式 下 的 网 络 适 
配器 来 实时 监视 并 分 析 通 过 网 络 的 所 有 通信 业务 。 它 的 攻击 辨识 模块 通常 使 用 四 种 常用 技 
术 来 识别 攻击 标志 : 模式 、 表 达 式 或 字 节 匹配 ; 频率 或 穿越 闵 值 ; 低级 事件 的 相关 性 ; 统计 
学 意义 上 的 非常 规 现象 检测 。 一 旦 检测 到 了 攻击 行为 ,IDS 的 响应 模块 就 提供 多 种 选项 以 
通知 .报警 并 对 攻击 采取 相应 的 反应 。 反 应 因 系 统 而 异 ,通常 都 包括 通知 管理 员 .中断 连 接 
并 且 / 或 为 法 庭 分 析 和 证 据 收 集 而 做 的 会 话 记 录 。 

NIDS 已 经 成 为 安全 策略 实施 的 重要 组 件 , 它 有 许多 仅 靠 HIDS 无 法 提供 的 优点 。 

QO@ 拥有 成 本 较 低 。NIDS 可 在 几 个 关键 访问 点 上 进行 策略 配置 ,以 观察 发 往 多 个 系统 
的 网 络 通信 。 所 以 它 不 要 求 在 许多 主机 上 装载 并 管理 软件 。 由 于 需 监 测 的 点 较 少 ,因此 对 
于 一 个 公司 的 环境 来 说 ,拥有 成 本 很 低 。 

@ 检测 HIDS 漏 掉 的 攻击 。NIDS 检查 所 有 包 的 头 部 从 而 发 现 恶意 的 和 可 疑 的 行动 迹 
象 。HIDS 无 法 查看 包 的 头 部 ,所 以 它 无 法 检测 到 这 一 类 型 的 攻击 。 例 如 ,许多 来 自 IP 地 
址 的 拒绝 服务 型 和 碎片 型 攻击 只 能 在 它们 经 过 网 络 时 ,都 可 以 在 NIDS 中 通过 监测 实时 包 
流 而 被 发 现 。 

NIDS 可 以 检查 有 效 负载 的 内 容 ,查找 用 于 特定 攻击 的 指令 或 语法 。 例 如 ,通过 检查 数 
据 包 有 效 负 载 可 以 查 到 黑客 软件 ,而 使 正在 寻找 系统 漏洞 的 攻击 者 毫 无 察觉 。 由 于 HIDS 
不 检查 有 效 负 载 ,所 以 不 能 辨认 有 效 负载 中 所 包含 的 攻击 信息 。 

@ 攻击 者 不 易 转移 证 据 。NIDS 使 用 正在 发 生 的 网 络 通信 进行 实时 攻击 的 检测 ,所 以 
攻击 者 无 法 转移 证 据 。 被 捕获 的 数据 不 仅 包括 攻击 的 方法 ,还 包括 可 识别 的 入 侵 者 身份 及 
对 其 进行 起 诉 的 信息 。 许 多 入 侵 者 都 熟知 审计 记录 ,他 们 知道 如 何 操 纵 这 些 文件 掩盖 他 们 
的 入侵 痕迹 ,来 阻止 需要 这 些 信 息 的 HIDS 去 检测 入 侵 。 

@ 实时 检测 和 响应 。NIDS 可 以 在 恶意 及 可 疑 的 攻击 发 生 的 同时 将 其 检测 出 来 ,并 做 
出 更 快 的 通知 和 响应 。 例 如 ,一 个 基于 TCP 的 对 网 络 进行 的 拒绝 服务 攻击 可 以 通过 将 
NIDS 发 出 TCP 复位 信号 ,在 该 攻击 对 目标 主机 造成 破坏 前 ,将 其 中 断 。 而 HIDS 只 有 在 可 
疑 的 登录 信息 被 记录 下 来 以 后 才能 识别 攻击 并 做 出 反应 。 而 这 时 关键 系统 可 能 早 就 遭 到 了 
破坏 ,或 是 运行 HIDS 的 系统 已 被 摧毁 。 

@ 检测 未 成 功 的 攻击 和 不 良 意图 。NIDS 增加 了 许多 有 价值 的 数据 ,以 判别 不 良 意图 。 
即便 防火 墙 可 以 正在 拒绝 这 些 尝 试 ,位 于 防火 墙 之 外 的 NIDS 可 以 查 出 和 在 防火 墙 后 的 攻 
击 意图 。HIDS 无 法 查 到 从 未 攻击 到 防火 墙 内 主机 的 未 遂 攻 击 , 而 这 些 丢 失 的 信息 对 于 评 
估 和 优化 安全 策略 是 至 关 重 要 的 。 

@ 操作 系统 无 关 性 。NIDS 作为 安全 监测 资源 ,与 主机 的 操作 系统 无 关 。 与 之 相 比 ， 
HIDS 必须 在 特定 的 .没有 遭 到 破坏 的 操作 系统 中 才能 正常 工作 ,生成 有 用 的 结果 。NIDS 
有 向 专门 的 设备 发 展 的 趋势 ,安装 这 样 的 一 个 NIDS 非常 方便 ,只 需 将 定制 的 设备 接 上 电 
源 , 做 很 少 一 些 配 置 ,将 其 连 到 网 络 上 即 可 。 
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NIDS 有 如 下 的 弱点 : 

@ NIDS 只 检查 它 直接 连接 网 段 的 通信 ,不 能 检测 在 不 同 网 段 的 网 络 包 。 在 使 用 交换 
以 太 网 的 环境 中 就 会 出 现 监测 范围 的 局 限 。 而 安装 多 台 NIDS 的 传感器 会 使 部 署 整个 系统 
的 成 本 大 大 增加 。 

@ NIDS 为 了 性 能 目标 通常 采用 特征 检测 的 方法 , 它 可 以 检测 出 一 些 普通 的 攻击 ,而 很 
难 实现 一 些 复杂 的 需要 大 量 计算 与 分 析 时 间 的 攻击 检测 。 

@ NIDS 可 能 会 将 大 量 的 数据 传 回 分 析 系 统 中 。 在 一 些 系 统 中 监听 特定 的 数据 包 会 产 
生 大 量 的 分 析 数 据 流 量 。 一 些 系统 在 实现 时 采用 一 定 方法 来 减少 回 传 的 数据 量 , 对 入 侵 判 
断 的 决策 由 传感器 实现 ,而 中 央 控 制 台 成 为 状态 显示 与 通信 中 心 , 不 再 作为 和 人 侵 行为 分 析 
器 。 这 样 的 系统 中 的 传感器 协同 工作 能 力 较 弱 。 

@ NIDS 处 理 加 密 的 会 话 过 程 较 困难 ,目前 通过 加 密 通道 的 攻击 尚 不 多 ,但 随 着 IPv6 
的 普及 ,这 个 问题 会 越 来 越 突出 。 

(3) 分 布 式 人 侵 检测 系统 。 

目前 这 种 技术 在 ISS 的 RealSecure 等 产品 中 已 经 有 了 应 用 。 它 检测 的 数据 也 是 来 源 
于 网 络 中 的 数据 包 , 不 同 的 是 , 它 采 用 分 布 式 检测 、 集 中 管理 的 方法 。 即 在 每 个 网 段 安装 一 
个 黑匣子 ,该 黑匣子 相当 于 NIDS, 只 是 没有 用 户 操作 界面 。 黑 匣子 用 来 监测 其 所 在 网 段 上 
的 数据 流 , 它 根据 集中 安全 管理 中 心 制定 的 安全 策略 、 响 应 规则 等 来 分 析 检 测 网 络 数据 , 同 
时 向 集中 安全 管理 中 心 发 回 安 全 事件 信息 。 集 中 安全 管理 中 心 是 整个 DIDS 面向 用 户 的 界 
面 。 它 的 特点 是 对 数据 保护 的 范围 比较 大 ,但 对 网 络 流量 有 一 定 的 影响 。 


5.4.4 入 侵 检测 系统 的 部 署 


攻击 检测 系统 中 事件 产生 器 所 收集 信息 的 来 源 可 以 是 主机 、 网 络 和 其 他 安全 产品 。 如 
果 信 息 源 仅 为 单个 主机 , 则 这 种 攻击 检测 系统 往往 直接 运行 于 被 保护 的 主机 之 上 ; 如 果 信 
息 源 来 自 多 个 主机 或 其 他 地 方 , 则 这 种 攻击 检测 系统 一 般 由 多 个 传感器 和 一 个 控制 台 组 成 ， 
其 中 传感器 负责 对 信息 进行 收集 和 初步 分 析 , 控 制 台 负责 综合 分 析 、 攻 击 响 应 和 传感器 控 
制 。 图 5-26 为 一 个 典型 的 “传感器 -控制 台 ” 结 构 的 攻击 检测 系统 的 部 署 方案 。 


PC PC PC PC 
I 网 络 Hub 防火 墙 路 由 器 
一 一 1 IDS 
过 滤 Sensor | 
Hub Sensor 1 DMZ 网 络 
IDS 和 
控制 台 管理 员 服务 器 | | DNS || Mail 


图 5-26 一 个 “传感器 -控制 台 ” 结 构 入 侵 检 测 系 统 的 部 署 方 案 


Snort 是 一 款 用 C 语言 开发 的 开放 源 代码 (http://www. snort. org) 的 跨 平台 网 络 和 人 侵 
检测 系统 ,能 够 方便 地 安装 和 配置 在 网 络 的 任何 一 个 节点 上 。Snort 有 三 种 工作 模式 : 嗅 探 
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器 数据 包 记录 器 、 网 络 人 侵 检测 。 嗅 探 器 模式 仅仅 是 从 网 络 上 读 取 数据 包 并 作为 连续 不 断 
的 流 显示 在 终端 上 。 数 据 包 记录 器 模式 把 数据 包 记录 到 硬盘 上 。 网 络 入侵 检 测 模式 是 最 复 
杂 的 ,但 也 是 可 配置 的 。Snort 使 用 基于 规则 的 模式 匹配 技术 来 实现 入 侵 检测 功能 ,其 规则 
文件 是 一 个 ASCII 文本 文件 ,可 以 用 常用 的 文本 编辑 器 对 其 进行 编辑 。 为 了 能 够 快速 、 准 
确 地 进行 检测 ,Snort 将 检测 规则 采用 链表 的 形式 进行 组 织 。Snort 的 发 现 和 分 析 能 力 取决 
于 规则 库 的 容量 和 更 新 频率 。 

在 共享 Hub 下 的 任 一 台 计 算 机 都 能 接收 到 本 网 段 的 所 有 数据 包 , 这 需要 将 网 卡 的 工作 
模式 设置 为 混杂 模式 ,使 之 可 以 接收 目标 地 址 不 是 自己 的 MAC 地 址 的 数据 包 。 在 UNIX 
系统 中 可 以 用 Libpcap 包 捕获 的 函数 库 直 接 与 内 核 驱 动 交互 操作 ,实现 对 网 络 数 据 包 的 捕 
获 。 在 Win32 平台 上 可 以 使 用 Winpcap, 通 过 VxD 虚拟 设备 驱动 程序 实现 网 络 数据 捕获 
的 功能 。 在 交换 Hub 下 的 计算 机 只 能 接收 发 往 自己 的 数据 包 和 广播 包 , 交 换 Hub 下 数据 
包 的 捕获 需要 在 Hub 处 通过 镜像 方法 实现 。 


5.5 虚拟 专用 网 技术 


随 着 互联 网 的 兴起 ,企业 开始 寻求 利用 互联 网 来 扩展 他 们 的 业务 。 首 先 ,Intranet( 企 业 
内 部 互联 网 ) 是 一 种 专 供 公司 内 部 员工 使 用 的 互联 网 站 点 ,应 用 密码 技术 保护 。 现 在 ,企业 
搭建 自己 的 虚拟 专用 网 (Virtual Private Network,VPN) ,满足 远程 员工 和 分 公司 的 需求 。 

从 原理 上 来 说 ,VPN 就 是 利用 公用 网 络 把 远程 站 点 或 用 户 连 接 到 一 起 的 专用 网 络 。 与 
实际 的 专用 连接 (如 租用 线路 ) 不 同 ,VPN 是 通过 互联 网 路 由 的 “虚拟 ?连接 ,把 公司 专用 网 
络 同 远 程 站 点 或 员工 连接 到 一 起 。 一 个 典型 的 企业 VPN 包括 公司 总 部 主 LAN 远程 分 公 
司 或 分 支 机 构 LAN 和 从 外 部 网 络 连接 进来 的 个 人 用 户 , 如 图 5-27 所 示 。 


生意 伙伴 移动 
工作 人 员 


图 5-27 一 个 典型 的 企业 VPN 


VPN 是 一 种 能 够 将 物理 上 分 布 在 不 同 地 点 的 网 络 通 过 公用 骨干 网 (Internet) 连 接 而 成 
的 逻辑 虚拟 子 网 ,提供 了 通过 公用 网 络 安全 对 企业 内 部 网 络 (Intranet) 进 行 远 程 访问 的 连 
接 。 一 个 连接 通常 由 客户 机 、 传 输 介质 和 服务 器 三 部 分 组 成 ,VPN 同样 也 由 这 三 部 分 组 成 ; 
不 同 的 是 ,VPN 连接 使 用 隧道 CTunnel) 作为 传输 通道 (就 像 装 信件 的 信封 ), 这 个 隧道 是 建 
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立 在 公共 网 络 或 专用 网 络 基 础 上 的 ,如 Internet 或 mtranet, 如 图 5-28 所 示 。 为 了 保障 信息 的 
安全 ,VPN 技术 采用 鉴别 .访问 控制 .保密 性 完整 性 等 措施 ,以 防止 信息 被 泄漏 、 筑 改 和 复制 。 


Ee Internet 
异地 用 户 
图 5-28 ”用 安全 隧道 连接 客户 机 和 服务 器 


5.5.1 VPN 的 主要 类 型 


针对 不 同 的 用 户 需 求 ,VPN 有 三 种 类 型 : 远程 访问 虚拟 网 (Access VPN) .企业 内 部 虚 
拟 网 (Intranet VPN) ,企业 扩展 虚拟 网 (Extranet VPN)。 三 种 类 型 VPN 分 别 与 远程 访问 
网 络 .企业 内 部 Internet 和 企业 网 与 企业 网 构成 的 Extranet 相对 应 。 

1. 远程 访问 虚拟 网 

远程 访问 虚拟 网 也 称 为 虚拟 专用 拨号 网 络 (VPDN) ,是 一 种 用 户 到 LAN 的 连接 ,通常 
用 于 员工 从 远程 位 置 连接 的 专用 网 络 。 企 业 服务 提供 商 (ESP) 为 公司 提供 大 型 远程 访问 
VPN; ESP 建立 一 个 网 络 访问 服务 器 (NAS) ,向 远程 用 户 提 供 桌 面 客户 端 软件 ; 远程 用 户 
拨打 免费 号 码 连 接 NAS, 使 用 VPN 客户 端 软件 访问 公司 网 络 。Access VPN 通过 第 三 方 服 
务 商 在 公司 专用 网 络 和 远程 用 户 之 间 实 现 安全 加 密 连接 ,如 图 5-29 所 示 。 

客户 端 VPN 


防火 墙 
图 5-29 Access VPN 结构 


2. 企业 内 部 虚拟 网 

企业 内 部 虚拟 网 基于 Intranet, 如 果 公 司 有 一 个 或 多 个 远程 位 置 需要 加 入 一 个 专用 网 
络 ,可 以 建立 一 个 Intranet VPN, 将 LAN 连接 到 另 一 个 LAN, 称 为 企业 内 部 虚拟 网 
(Intranet VPN) ,如 图 5-30 所 示 。 


网 关 VPN 网 关 VPN 
图 5-30 ” Intranet VPN 结构 
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3. 企业 扩展 虚拟 网 

企业 扩展 虚拟 网 基于 Extranet, 如 果 公 司 同 其 他 公司 (如 供应 商 、 客 户 等 ) 关 系 紧密 ,他 
们 可 以 建立 一 个 Extranet VPN ,将 LAN 连接 到 另 一 个 LAN, 所 有 公司 同时 在 一 个 共享 环 
境 中 工作 , 称 为 企业 扩展 虚拟 网 (Extranet VPN) ,如 图 5-31 所 示 。 


外 联网 
图 5-31 Extranet VPN 结构 


VPN 是 对 Intranet 的 扩展 ,一 家 企业 可 以 同时 提供 3 种 VPN 服务 ,如 图 5-32 所 示 。 


A 公司 外 地 业务 员 AN DAccess VPN 


~ /PN 服务 
~ 
2 
~ \@Intranet VPN ~ 园 
AN 
N 
Internet 加 
OExrand VPN 国 
VPN 服 务 二 
SO A 公司 总 部 
B 公 司 分 支 机 构 


图 5-32 企业 提供 的 VPN 服务 


5.5.2 VPN 的 基本 原理 


VPN 技术 非常 复杂 ,实现 VPN 的 主要 技术 及 相关 协议 已 经 成 熟 , 以 L2TP、IPSec 和 SSL 
协议 应 用 最 广 。VPN 使 用 三 方面 技术 保证 通信 的 安全 性 : 身份 验证 、 隧 道 协议 、 加 密 技术 。 
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1. 身份 验证 技术 

VPN 在 不 安全 的 Internet 中 通信 ,通信 内 容 涉及 企业 的 机 密 数 据 , 因 此 其 安全 性 非常 
重要 。 身 份 验证 技术 是 实现 安全 通信 的 前 提 。 

VPN 的 一 般 验证 流程 : 

(1) 客户 机 (Client) 向 VPN 服务 器 (Authenticating Device) 发 出 请 求 (Challenge)， 
VPN 服务 器 响应 (Response) 请 求 并 向 客户 机 发 出 身份 (User Name,Password) 质 询 。 

(2) 客户 机 将 加 密 的 响应 信息 发 送 到 VPN 服务 器 ,VPN 服务 器 根据 用 户 数据 库 (Data 
Base) 检 查 是 否 该 响应 。 

(3) 如 果 账 户 (ID) 有 效 ,VPN 服务 器 将 检查 该 用 户 是 否 具有 远程 访问 权限 。 

(4) 如 果 该 用 户 拥 有 远程 访问 的 权限 ,VPN 服务 器 接受 此 连接 。 

(5) 在 身份 验证 过 程 中 产生 的 客户 机 和 服务 器 公有 密 钥 将 用 来 对 数据 进行 加 密 。 

在 VPN 中 ,用 户 身份 认证 技术 是 在 正式 隧道 连接 开始 前 进行 用 户 身 份 确认 ,以 便 系统 
进一步 实施 相应 的 资源 访问 控制 和 用 户 授 权 。VPN 中 常用 的 身份 认证 技术 主要 有 安全 口 
令 .PPP 认证 协议 和 密 钥 管理 技术 三 种 。 

2. 隧道 协议 

隧道 协议 (Tunneling Protocal) 是 VPN 的 基本 技术 ,类 似 于 点 对 点 连接 技术 (Point to 
Point Protocol,PPP) , 它 在 公 网 建立 一 条 数据 通道 (隧道 )( 如 图 5-33 所 示 ), 让 数据 包 通 过 
这 条 隧道 传输 。 隧 道 是 由 隧道 协议 形成 的 ,主要 有 第 二 层 隧道 协议 PPTP(Point-to-Point 
Tunneling Protocol) 和 L2TP (Level 2 Tunneling Protocol) .第 三 层 隧 道 协议 IPSec (IP 
Security) 和 安全 套 接 层 SSL(Secure Sockets Layer) 协 议 等 。 


隧道 包 报头 


隧道 中 的 数据 包 隧道 
图 5-33 VPN 隧道 


隧道 技术 是 一 种 通过 使 用 互联 网 基础 设施 在 网 络 之 间 传 递 数据 的 方式 。 使 用 隧道 传递 
的 数据 可 以 是 不 同 协议 的 数据 帧 或 包 . 隧 道 协议 将 这 些 数据 帧 或 包 重新 封装 在 新 的 包头 中 
发 送 ,新 的 包头 提供 了 路 由 信息 ,从 而 使 封装 的 数据 能 够 通过 互联 网 传递 。 被 封装 的 数据 包 
在 隧道 的 两 个 端点 之 间 通 过 公共 互联 网 络 进行 路 由 ,所 经 过 的 逻辑 路 径 称 为 隧道 ,一 旦 到 达 
网 络 终点 数据 将 被 解 包 并 转发 到 最 终 目的 地 。 隧 道 技术 包括 数据 封装 .传输 和 解 包 在 内 的 
全 过 程 。 

3. 加 密 技 术 

在 VPN 实现 中 ,双方 大 量 通信 流量 的 加 密使 用 对 称 加 密 算法 ,在 管理 .分 发 对 称 加 密 
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的 密 钥 上 采用 非 对 称 加 密 技 术 。 加 密 基 本 思想 : 在 协议 栈 的 任意 层 对 数据 或 报 文 头 进行 加 
密 , 从 而 有 效 保护 传输 的 信息 。VPN 是 通过 软件 实现 的 技术 ,因而 VPN 加 密 载体 是 多 方面 
的 ,包括 路 由 器 防火 墙 .专用 VPN 硬件 。VPN 加 密 技 术 发 展 趋势 是 实现 端 到 端的 安全 , 真 
正确 保 完全 的 加 密 。 


5.5.3 VPN 的 功能 特性 


VPN 系统 的 功能 特性 可 以 概括 为 以 下 几 个 主要 方面 。 

1. 安全 保障 

VPN 保证 通过 公用 网 络 平台 传输 数据 的 专用 性 和 安全 性 。 在 面向 非 连接 的 公用 IP 网 
络 上 建立 一 个 逻辑 的 .点 对 点 的 连接 称 为 建立 一 个 隧道 ,可 以 对 经 过 隧道 传输 的 数据 进行 加 
密 , 保 证 数据 仅 被 指定 的 发 送 者 和 接收 者 了 解 。 由 于 VPN 直接 构建 在 公用 网 上 ,企业 必须 
确保 VPN 上 传送 的 数据 不 被 攻击 者 窥视 和 自 改 ,要 防止 非法 用 户 对 网 络 资源 或 私有 信息 
的 访问 。 

2. 服务 质量 保证 

针对 不 同 用 户 和 业务 对 QoS 要 求 差异 较 大 ,VPN 提供 不 同等 级 的 QoS。 对 于 移动 用 
户 ,VPN 服务 提供 广泛 的 连接 和 覆盖 性 ; 对 于 拥有 众多 分 支 机 构 的 专线 VPN 网 络 ,VPN 
服务 为 交互 式 内 部 企业 网 应 用 提供 良好 的 网 络 稳定 性 ; 对 于 视频 等 应 用 ,VPN 服务 提供 网 
络 时 延 及 纠 错 服 务 。VPN 服务 充分 利用 广域网 资源 ,为 重要 数据 提供 可 靠 带 宽 。 广 域 网 流 
量 不 确定 性 致使 带宽 利用 率 低 ,流量 高 峰 时 网 络 阻塞 .流量 低谷 时 带宽 空闲 。QoS 通过 流 
量 预 测 与 流量 控制 策略 ,按照 优先 级 分 配 带宽 资源 ,实现 带宽 管理 ,使 各 类 数据 被 合理 地 先 

3. 可 扩充 性 和 灵活 性 

VPN 支持 通过 Intranet 和 Extranet 的 任何 类 型 数据 流 ,方便 增加 新 的 节点 ,支持 多 种 
类 型 的 传输 媒介 ,满足 同时 传输 语音 、 图 像 和 数据 等 新 应 用 对 高 质量 传输 以 及 带宽 增加 的 

4. 可 管理 性 

从 用 户 角度 和 运营 角度 看 ,VPN 将 其 网 络 管理 功能 从 局 域 网 延伸 到 公用 网 ,甚至 是 客 
户 和 合作 伙伴 ; 同时 将 一 些 次 要 的 网 络 管理 任务 交 给 服务 提供 商 完成 。VPN 管理 目标 : 减 
小 网 络 风险 ,使 其 具有 高 扩展 性 、 经 济 性 、 高 可 靠 性 等 。VPN 管理 内 容 : 安全 管理 ,设备 管 
理 . 配 置 管理 ,ACL 管理 .QoS 管理 等 。 

5. 降低 成 本 

VPN 利用 现 有 的 Internet 或 其 他 公共 网 络 的 基础 设施 为 用 户 创建 安全 隧道 ,不 需要 专 
门 租用 线路 ,节省 了 专线 的 租金 。 如 果 采 用 远程 拨号 进入 内 部 网 络 ,访问 内 部 资源 ,需要 长 
途 话费 ; 采用 VPN 技术 ,只 需 拨 入 当地 ISP 就 可 以 安全 地 接 人 内 部 网 络 ,节省 了 线路 话费 。 


5.5.4 VPN 的 实现 技术 
VPN 服务 是 依托 ISP 和 网 络 服务 提供 商 在 公 网 中 建立 专用 隧道 ,让 数据 包 通 过 隧道 传 
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输 。 网 络 隧道 技术 ,是 利用 一 种 网 络 协议 传输 另 一 种 网 络 协议 ,就 是 将 原始 网 络 信息 进行 再 
次 封装 ,并 在 两 个 端点 之 间 通 过 互联 网 路 由 ,从 而 保证 网 络 信息 传输 的 安全 性 。VPN 服务 
主要 利用 隧道 协议 实现 保密 通信 功能 ,下 面 主要 介绍 L2TP 协议 .IPSec 协议 和 SSL 协议 。 

1. L2TP 协议 

L2TP 是 一 种 基于 PPP 的 二 层 隧道 协议 。 在 由 L2TP 构建 的 VPN 中 ,有 两 种 类 型 的 
服务 器 ,一 是 L2TP 访问 集中 器 LAC(L2TP Access Concentrator) ,是 附属 在 网 络 上 的 具有 
PPP 端 系统 和 L2TP 协议 处 理 能 力 的 设备 ,为 用 户 提供 认证 的 网 络 接 人 服务 器 ; 二 是 L2TP 
网 络 服务 器 LNS(L2TP Network Server) ,是 PPP 端 系 统 上 用 于 处 理 L2TP 协议 服务 器 端 
部 分 的 软件 。 

LNS 和 LAC 存在 两 种 连接 类 型 ,Tunneling 连接 和 会 话 (Session) 连 接 。 前 者 定义 一 
个 LNS 和 LAC 对 ; 后 者 复 用 在 隧道 连接 之 上 ,表示 隧道 连接 的 每 个 PPP 会 话 过 程 。L2TP 
连接 维护 和 PPP 数据 传送 通过 L2TP 消息 交换 完成 。L2TP 消息 分 为 两 种 : 控制 消息 和 数 
据 消息 。 控 制 消 息 用 于 隧道 连接 、 会 话 连接 建立 与 维护 ,数据 消息 用 于 承载 用 户 PPP 的 数 
据 包 。 消 息 通过 UDP 的 1701 端口 承载 于 TCP/IP 之 上 ,图 5-34 所 示 为 应 用 L2PT 构建 的 
VPN 服务 。 


L2TP IPSec SEfver 
Internal Network, 


PPPoE Server 


VPN User 
图 5-34 ”应 用 L2PT 构建 的 VPN 服务 


在 L2TP 构建 的 VPN 中 ,L2TP 协议 网 络 组 件 包括 三 部 分 : 

(1) 远 端 系统 ,是 接 人 VPDN 网 络 的 远 地 用 户 和 分 支 机 构 , 通 常 是 拨号 用 户 的 一 台 主 
机 或 私有 网 络 的 路 由 设备 。 

(2) LAC, 是 附属 在 交换 网 络 上 的 具有 PPP 端 系统 和 L2TP 处 理 能 力 的 设备 ,通常 是 
当地 ISP 的 一 个 NAS, 为 PPP 类 型 的 用 户 提 供 接 入 服务 。LAC 位 于 LNS 和 远 端 系统 之 
间 , 用 于 LNS 和 远 端 系 统 之 间 传 递 信息 包 。LAC 从 远 端 系统 收 到 信息 包 按 照 L2TP 封装 
发 送 LNS, 同 时 从 LNS 收 到 信息 包 解 封装 发 送 到 远 端 系统 。LAC 与 远 端 系统 采用 本 地 连 
接 或 PPP 链 路 ,VPN 应 用 为 PPP 链 路 。 

(3) LNS, 既 是 PPP 端 系统 又 是 L2TP 服务 器 端 ,通常 作为 企业 内 部 网 的 一 个 边缘 设 
备 。LNS 作为 L2TP 隧道 的 另 一 侧 端点 是 LAC 的 对 端 设备 ,是 LAC 进行 隧道 传输 的 PPP 
会 话 逻 辑 终止 端点 。 通 过 在 公 网 中 建立 L2TP 隧道 ,将 远 端 系统 PPP 连接 的 另 一 端 延 伸 至 
企业 网 内 部 LNS。 
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L2TP 是 PPTP 和 L2F 的 组 合 . 微 软 L2TP 依托 IPSec 传输 模式 提供 加 密 服 务 。L2TP 
和 IPSec 组 合 称 为 L2TP/IPSec,VPN 客户 端 和 VPN 服务 器 均 支 持 L2TP 和 IPSec,VPN 
客户 端 内 置 在 Windows XP 远程 访问 客户 端 ,VPN 服务 器 内 置 在 Windows Server 2003 系 
列 成 员 中 。 

2. IPSec 协议 


IPSec(Internet Protocol Security) 是 一 种 开放 标准 的 框架 结构 ,使 用 加 密 服 务 确保 
Internet 通信 安全 而 顺畅 。L2TP 没有 解决 隧道 加 密 和 数据 加 密 问 题 ,IPSec 协议 集 多 种 安 
全 技术 ,可 以 建立 一 个 安全 、 可 靠 的 隧道 。 安 全 技术 包括 : Diffie Hellman 密 钥 交 换 技术 ， 
DES、RC4、IDEA 数据 加 密 技术 , 哈 希 散 列 算法 HMAC、MD5、SHA ,数字 签 名 技术 。 

IPSec 是 一 个 应 用 于 IP 层 上 网 络 数据 安全 的 用 于 认证 .机密 性 和 完整 性 的 标准 协议 
包 , 包 括 认 证 头 (Authentication Header, AH) 协 议 、 封 装 安 全 载荷 (Encapsulating Security 
Payload,ESP) 协 议 、 密 钥 管 理 (Internet Key Exchange,IKE) 协 议和 用 于 认证 与 加 密 的 算法 
如 DES IDEA 等 。IPSec 是 一 个 第 三 层 VPN 协议 .定义 了 如 何在 对 等 层 之 间 选 择 安全 协 
议 ,安全 算法 和 密 钥 交换 ,向 上 层 提供 访问 控制 .数据 源 验证 、 数 据 加 密 等 安全 服务 。 各 协议 


之 间 的 关系 如 图 5-35 所 示 。 


丰 封装 安全 负载 (ESP) 认证 包头 (AH) 
加 密 算法 认证 算法 


(DES、 3DES、 AES) (MD5、SH1) 


解释 域 (DOD 


密 钥 管理 
(“手动 ” 和 “自动 ”) 


策略 


图 5-35 IPSec 体系 结构 


(1) AH 为 IP 数据 包 提供 无 连接 的 数据 完整 性 和 数据 源 身份 认证 ,具有 防 重 放 攻 击 的 
能 力 。 数 据 完整 性 校 验 通过 消息 认证 码 ( 如 MD5) 产 生 的 校 验 值 来 保证 ; 数据 源 身份 认证 
通过 在 待 认证 数据 中 加 入 一 个 共享 密 钥 实现 ; AH 报头 中 可 以 防止 重 放 攻击 。 

(2) ESP 为 IP 数据 包 提 供 数据 保密 性 、 无 连接 的 数据 完整 性 、 数 据 源 身份 认证 以 及 防 
重 放 攻 击 保护 。 与 AH 相 比 ,数据 保密 性 是 ESP 的 新 增 功能 ,数据 源 身份 认证 .数据 完整 性 
检验 以 及 重 放 保护 都 是 AH 可 以 实现 的 。 

(3) AH 和 ESP 可 以 单独 使 用 ,也 可 以 配合 使 用 。 通 过 这 些 组 合 模式 ,可 以 在 两 台 主 
机 \ 两 台 安 全 网 管 (防火 墙 和 路 由 器 ) 或 主机 与 安全 网 关 之 间 配置 多 种 灵活 的 安全 机 制 。 

(4) 解释 域 DOI 将 所 有 的 IPSec 协议 捆绑 在 一 起 ,是 IPSec 安全 参数 的 主要 数据 库 。 

(5) 密 钥 管理 包括 IKE 协议 和 安全 联盟 (SA) 等 部 分 。IKE 在 通信 系统 之 间 建 立 安全 
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联盟 ,提供 密 钥 管理 和 密 钥 确 定 机 制 , 是 一 个 产生 和 交换 密 钥 材 料 并 协调 IPSec 参数 的 框 
架 。IKE 将 密 钥 协商 的 结果 保留 在 SA 中 , 供 AH 和 ESP 以 后 通信 时 使 用 。 

AH 和 ESP 都 支持 两 种 模式 : 传输 模式 和 隧道 模式 。 传 输 模 式 IPSec 对 上 层 协 议 提供 
保护 ,用 于 两 个 主机 之 间 的 端 到 端 通信 。 隧 道 模式 IPSec 对 所 有 IP 包 保护 ,用 于 安全 网 关 
之 间 , 可 以 在 Internet 上 构建 VPN。 使 用 隧道 模式 ,在 防火 墙 之 后 ,内 部 网 的 一 组 主机 不 实 
现 IPSec 而 参加 安全 通信 。 局 域 网 边界 的 防火 墙 IPSec 软件 建立 隧道 模式 SA ,主机 产生 的 
未 保护 数据 包 通 过 隧道 连接 外 部 网 络 。 

IPSec 提供 了 两 种 安全 机 制 : 认证 和 加 密 。 认 证 机 制 使 IP 通信 的 数据 接收 方 能 够 确认 
数据 发 送 方 的 真实 身份 以 及 数据 在 传输 过 程 中 是 否 遭 自 改 ; 加 密 机 制 通过 对 数据 进行 编码 
来 保证 数据 的 机 密 性 ,以 防 数据 在 传输 过 程 中 被 窃听 。AH 定义 了 认证 的 应 用 方法 ,提供 数 
据 源 和 完整 性 认证 ; ESP 定义 了 加 密 和 可 选 认 证 的 应 用 方法 ,提供 可 靠 性 保证 。 在 实际 卫 
通信 时 ,根据 安全 需求 同时 应 用 两 种 协议 或 选择 一 种 。AH 和 ESP 都 提供 认证 服务 ,AH 
认证 服务 强 于 ESP,IKE 用 于 密 钥 交 换 。 

AH 协议 为 IP 通信 提供 数据 源 认 证 、 数 据 完整 性 和 反 回 放 保证 ,保护 通信 和 免 受 算 改 ,不 
能 防止 窃听 ,适用 于 传输 非 机 密 数据 不 提供 机 密 性 保护 。AH 有 传输 、 隧 道 两 种 工作 模式 。 
图 5-36 显示 了 两 种 IPSec 鉴别 服务 的 模式 。 一 种 是 在 服务 器 和 客户 机 之 间 直 接 提供 鉴别 
服务 ,工作 站 和 服务 器 共享 受 保护 的 密 钥 ,使 用 传输 模式 的 SA, 鉴 别处 理 是 安全 的 。 另 一 
种 是 远程 工作 站 向 公司 防火 墙 鉴别 自己 的 身份 ,或 为 了 访问 整个 内 部 网 络 使 用 隧道 模式 
的 SA。 


i 


图 5-36 ”两 种 IPSec 鉴别 服务 模式 


ESP 为 IP 数据 包 提 供 数据 保密 性 、 无 连接 的 数据 完整 性 、 数 据 源 身份 认证 和 防 重 放 攻 
击 保护 ,数据 保密 性 是 基本 功能 ,数据 源 身份 认证 ,数据 完整 性 检验 以 及 重 放 保 护 是 可 选 功 
能 。ESP 可 以 单独 使 用 ,也 可 以 和 AH 结合 使 用 。 一 般 ESP 不 加 密 整 个 数据 包 , 只 加 密 IP 
包 的 有 效 载 荷 部 分 ,不 包括 IP 头 ; 在 端 到 端的 隧道 通信 中 ESP 加 密 整个 数据 包 。ESP 有 
传输 、 隧 道 两 种 工作 模式 。 图 5-37 显示 了 ESP 服务 的 传输 模式 ,图 5-38 显示 了 ESP 服务 
的 隧道 模式 ,前 者 在 两 个 主机 之 间 提 供 加 密 和 鉴别 服务 ,后 者 使 用 隧道 模式 建立 VPN。 
图 5-39 显示 了 ESP 隧道 模式 的 一 个 例子 ,一 个 组 织 有 4 个 专用 网 络 通过 Internet 连接 起 
来 。 内 部 网 络 主机 使 用 Internet 传输 数据 ,不 是 同 基于 Internet 的 其 他 主机 交互 。 在 每 个 
内 部 网 络 的 安全 网 关上 终止 隧道 ,允许 主机 避免 实现 安全 能 力 。 


158 信息 安全 基础 


图 5-37 ESP 服务 的 传输 模式 
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图 5-39 应 用 IPSec 构建 的 VPN 服务 
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3. SSL 协议 


最 新 研究 表明 ,90% 的 企业 利用 VPN 访问 Web 和 电子 邮件 通信 ,10% 的 用 户 用 于 聊天 
协议 和 私有 客户 端 应 用 。90% 的 应 用 可 以 利用 简单 、 低 成 本 的 VPN 技术 一 一 SSL VPN 提 
供 安全 服务 。SSL 安全 套 接 层 协议 层 (Secure Sockets Layer) 是 一 种 在 Web 服务 协议 
(HTTP) 和 TCP/IP 之 间 提 供 数 据 连接 安全 性 的 协议 ,为 TCP/IP 连接 提供 数据 加 密 、 用 户 
与 服务 器 身份 验证 和 消息 完整 性 验证 。SSL 被 视 为 因特网 上 Web 浏览 器 和 服务 器 的 安全 
标准 。 

SSL 安全 协议 提供 三 方面 的 安全 服务 : 

(1) 用 户 和 服务 器 的 合法 性 认证 。 认 证 用 户 和 服务 器 的 合法 性 ,使 得 它们 确信 数据 被 
发 送 到 正确 的 客户 机 和 服务 器 ; 客户 机 和 服务 器 都 有 各 自 的 识别 号 ,由 公开 密 钥 编号 ,SSL 
协议 在 握手 交换 数据 时 进行 数字 认证 ,以 此 确保 用 户 的 合法 性 。 

(2) 数据 以 加 密 方式 被 传送 。SSL 采用 的 加 密 方 式 既 有 对 称 密 钥 技 术 , 也 有 公开 密 钥 
技术 。 客 户 机 与 服务 器 交换 数据 之 前 ,交换 SSL 初始 握手 信息 ,SSL 握手 信息 采用 了 各 种 
加 密 技术 ,保证 其 机 密 性 和 完整 性 ,并 且 用 数字 证 书 鉴别 ,防止 非法 用 户 破译 。 

(3) 保护 数据 的 完整 性 。SSL 采用 Hash 函数 和 机 密 共享 的 方法 提供 信息 的 完整 性 服 
务 ,建立 客户 机 与 服务 器 之 间 的 安全 通道 ,SSL 处 理 的 业务 在 传输 过 程 中 完整 、 准 确 无 误 地 
到 达 目 的 地 。 

SSL 安全 协议 包括 两 个 工作 阶段 : 

QO@ 握手 阶段 ,客户 端 和 服务 器 用 公 钥 加 密 算法 计算 出 私 钥 。 

@ 数据 传输 阶段 ,客户 端 和 服务 器 都 用 私 钥 加 密 、 解 密 传输 过 来 的 数据 。 

在 TCP 连接 建立 之 后 ,SSL 客户 端 发 出 一 个 Hello 消息 握手 ,消息 包括 自己 可 实现 的 
算法 列表 和 其 他 需要 的 消息 。SSL 服务 器 回应 一 个 类 似 Hello 消息 ,确定 通信 和 需要 的 算法 ， 
并 发 送 自己 的 证 书 。SSL 客户 端 收 到 消息 后 生成 一 个 消息 ,用 SSL 服务 器 公 钥 加 密 后 传送 
过 去 ,SSL 服务 器 用 自己 私 钥 解 密 , 会 话 密 钥 协 商 成 功 ,双方 用 私 钥 算 法 进行 通信 。 

SSL 安全 协议 认证 工作 流程 : 

(1) 服务 器 认证 阶段 。 

客户 端 向 服务 器 发 送 一 个 Hello 信息 开始 一 个 新 的 会 话 连 接 ; 服务 器 根据 客户 信息 确 
定 是 否 生成 新 的 主 密 钥 ,车 需要 ,服务 器 在 响应 客户 Hello 信息 时 包含 生成 主 密 钥 所 需 信 
息 ; 客户 根据 收 到 的 服务 器 响应 信息 ,产生 一 个 主 密 钥 ,用 服务 器 公开 密 钥 加 密 后 传送 给 服 
务 器 ; 服务 器 恢复 主 密 钥 ,返回 给 客户 一 个 用 主 密 钥 认证 的 信息 ,让 客户 认证 服务 器 。 

(2) 用 户 认证 阶段 。 

在 此 之 前 ,服务 器 已 经 通过 了 客户 认证 ,这 一 阶段 主要 完成 对 客户 的 认证 ; 经 认证 的 服 
务 器 发 送 一 个 提问 给 客户 ,客户 则 返回 数字 签名 后 的 提问 和 其 公开 密 钥 , 从 而 向 服务 器 提供 
认证 。 

SSL 有 限 支持 Windows 应 用 或 非 Web 系统 ,大 多 数 SSL VPN 都 是 基于 Web 浏览 器 
工作 ,远程 用 户 不 能 在 Windows、UNIX、Linux、AS400 或 大 型 系统 上 进行 非 Web 应 用 。 
SSL 为 访问 资源 提供 有 限 安全 保障 ,基于 SSL 的 Web 浏览 器 进行 VPN 通信 ,对 用 户 来 说 
外 部 环境 并 不 安全 ; 因为 SSL VPN 只 对 通信 双方 某 个 应 用 通道 加 密 , 不 对 通信 双方 主机 之 
间 的 整个 通道 加 密 。 图 5-40 显示 应 用 SSL 构建 的 VPN 服务 ,为 HTTP 服务 通道 加 密 。 
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图 5-40 应 用 SSL 构建 的 VPN 服务 


5.6 实 训 


忌 训 ”Windows Server 2003 的 L2TP VPN 配置 

实 训 目的 : Windows 2003 支持 L2TP 的 VPN 数据 链 路 层 隧道 协议 ,在 Windows 2003 
服务 器 端 通过 “路 由 和 远程 访问 ”创建 VPN 服务 器 ,接受 远程 “虚拟 专用 连接 ”。Windows 
2003 计算 机 为 VPN 服务 器 ,在 客户 端 和 VPN 服务 器 间 建 立 安全 连接 。 

实 训 准备 : 一 台 装 有 Windows Server 2003 的 计算 机 作为 VPN 服务 器 ,一 台 装 有 
Windows XP 的 计算 机 作为 客户 端 。 

实 训 内 容 : 

1. 配置 PPTP 服务 端 

(1) 在 “管理 工具 ”中 配置 “路 由 和 远程 访问 ”。“* 路 由 和 远程 访问 ”默认 是 禁用 的 , 右 击 
服务 器 图 标 ,选择 “配置 并 启用 路 由 和 远程 访问 "命令 ,如 图 5-41 所 示 。 在 安装 向 导 中 单 击 
“下 一 步 ” 按 钮 。 


5-41 启用 路 由 与 远程 访问 


(2) 在 弹出 的 对 话 框 中 ,选中 “远程 访问 (拨号 或 VPN)”, 选 中 VPN, 单 击 “ 下 一 步 ” 
按钮 。 
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(3) 在 弹出 的 对 话 框 中 选中 默认 设置 , 单 击 " 下 一 步 ” 按 钮 ,如 图 5-42 所 示 。 


路 由 和 运程 访问 服务 器 安装 育 导 


TYPE 连接 
要 允许 VPN 客户 端 连 接 到 此 服务 器 ， 至 少 要 有 一 个 网 络 接口 连接 到 
Internete 


图 5-42 配置 VPN 


(4) 在 “IP 地 址 指定 ”对话 框 中 ,选中 * 来 自 一 个 指定 的 地 址 范围 ”, 单 击 * 下 一 步 ?按钮 。 

(5) 在 “地 址 范围 指定 ?选项 组 中 , 单 击 * 新 建 ?按钮 ,出 现 * 新 建 地 址 范围 ?对 话 框 , 设 置 
“起 始 IP 地 址 ”为 192. 168. 0. 51,“ 结 束 IP 地 址 ”为 192. 168. 0. 58 , 单 击 “确定 ”按钮 ,返回 上 
一 级 对 话 框 。 此 时 可 看 到 地 址 范围 已 添加 成 功 , 单 击 * 下 一 步 ? 按 钮 ,如 图 5-43 所 示 。 


ETTET] 


192.168. 0 . 51 
192.168. 0 .58 


图 5-43 配置 IP 地 址 
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(6) 在 “路 由 和 远程 访问 服务 器 安装 向 导 ” 对 话 框 中 ,保持 默认 设置 , 单 击 “ 下 一 步 ” 按 
钮 , 单 击 “ 完 成 ”按钮 ,结束 服务 器 配置 。 然 后 计算 机 开始 启动 路 由 服务 ,如 图 5-44 所 示 。 

(7) 打开 “计算 机 管理 ”窗口 ,分别 创建 一 个 用 户 r_user、 一 个 组 r_userg, 且 使 r_user 隶 
属于 r_userg。 用 户 r_user* 拨 入 ”属性 设置 如 图 5-45 所 示 。 


图 5-44 ”启动 路 由 服务 图 5-45 创建 组 合用 户 


(8) 回 到 * 路 由 和 远程 访问 ”窗口 ,选中 * 远 程 访问 策略 ”, 右 侧 窗 格 默认 显示 “身份 验证 _ 
连接 VPN”, 如 图 5-46 所 示 。 


祷 访 


程 访 问 策略 


图 5-46 VPN 连接 


右 击 “身份 验证 _ 连 接 VPN”, 选 中 “属性 ”命令 ,出 现 如 图 5-47 所 示 的 对 话 框 , 单 击 “ 删 
除 ” 按 钮 ,删除 默认 条 件 。 

在 “身份 验证 _ 连 接 VPN” 对 话 框 中 , 单 击 “ 添 加 ”按钮 ,打开 “选择 属性 ”对 话 框 ,选中 
Windows-Groups, 单 击 “ 添 加 ”按钮 ,如 图 5-48 所 示 。 

(9) 在 “选择 组 ”对 话 框 中 选择 r_userg, 单 击 “ 确 定 ” 按 钮 , 回 到 “身份 验证 _ 连 接 VPN” 
对 话 框 ,选择 “授予 远程 访问 权限 ” 单 选 按 钮 .如 图 5-49 所 示 。 
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加 | 其 地 访问 服务 器 的 连接 尾 性 


图 5-49 ”授予 远程 访问 权限 
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(10) 在 “身份 验证 连接 VPN” 对 话 框 中 , 单 击 * 编 辑 配 置 文件 ", 即 可 进行 身份 验证 和 
加 密 配置 , 单 击 “ 确 定 ?按钮 ,结束 配置 ,如 图 5-50 和 图 5-51 所 示 。 


EEEEREEEEEB 13 EREEEEE [zz 
热 入 限制 | IP | 多 重 链接 身份 验证 | 加 密 | 高 级 | 一 一 二 | 多 重 链接 | 身份 验证 ”加密 。 | 高 级 
选择 您 想 多 许 此 连接 使 用 法 。 卓 crosoft 路 由 和 运程 访问 
ET 有 
如 果 只 选择 了 “无 加 密 ”， 则 用 户 不 能 通过 数据 加 密 进 行 连接 。 
I ess a to 加) 人 EE | 
y 5; 码 过 其 后 
本 太 增 3N0 客 PPE 56 位 ) 6) 


碟 员 erosoft 加 密 身份 验证 QS-CHAP) 由 ) 
人 用 户 可 以 在 密码 过 期 后 更 改 它 E) 

厂 加 密 身 份 验证 CHAF) 四) 

厂 未 加 密 的 身份 验证 BAP，SPAP) QD 

未 经 身份 验证 的 沪 问 


人 最 强加 密 FPE 128 位 ) CI) 
厂 无 加 密 QD 


厂 区 许 客 户 靖 连接 而 不 需要 协商 身份 验证 方法 中 )。 


确定 取消 应 用 wy | 取消 应 用 (A) 
5-50 ”身份 验证 图 5-51 ”加密 配置 


(11) 在 “网 络 连 接 " 窗 口 ,可 看 到 “ 传 入 的 连接 "图标 ,表示 服务 器 端 等 


寺 客 户 端 建立 


连接 。 
(12) 如 图 5-52 所 示 ,在 命令 提示 符 界面 ,输入 命令 IPconfig/all 可 以 看 到 其 网 卡 IP 地 


址 和 新 建 的 WAN 二 PPP/SLIP 放 地 址 , 即 虚拟 专用 网 地 址 


:\Docunents and Settings\cnhope>ipconf ig/all 
indows IP Conf igu 
vinxp 
Node Type 2 :Unknown 
No 


IP Routing Enabled 
NINS Proxy Enabled 


thernet adapter 本 其 


Connection-specific DNS Suffix 
= VMware Accelerated AMD PCNet Adapter| 


Physical Addre: : 08-8C-29-EC-77-86 
Dhcp Enabled 

IP Addre: 

Subnet IM 


WAN CPPP/SLIP> Interface 
88-53-45-88-80-99 
Dhep Enabled 


Default Gatevay 
DNS Server: 


C: \Docunents and Settings\cnhope> 


图 5-52 虚拟 地 址 
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2. 配置 PPTP 客户 端 


(1) 打开 “网 络 连接 ”窗口 ,双击 “新 建 连接 ”, 在 打开 的 “网 络 连接 向 导 ” 对 话 框 中 , 单 击 
“下 一 步 " 按 钮 ; 在 弹出 的 对 话 框 中 ,选中 “连接 到 我 工作 场所 的 网 络 ”, 单 击 “ 下 一 步 " 按 钮 ; 
选择 “虚拟 专用 网 络 连接 ” 单 选 按 钮 ,如 图 5-53 所 示 。 


图 5-53 客户 端 网 络 连接 


(2) 如 图 5-54 所 示 ,输入 VPN 服务 器 的 IP 地 址 , 单 击 “ 下 一 步 ”按钮 。 


图 5-54 ”VPN 服务 器 地 址 


(3) 在 对 话 框 中 保持 默认 设置 , 单 击 * 下 一 步 ?按钮 ; 在 “Internet 连接 共享 > 对话 框 中 也 
保持 默认 设置 , 单 击 * 下 一 步 ? 按 钮 “可 修改 连接 名 称 ”, 单 击 * 完 成 "按钮 ,结束 客户 端 配置 ， 
如 图 5-55 所 示 。 

(4) 在 “网 络 虚拟 连接 ”窗口 中 ,双击 所 建 的 连接 图 标 ; 在 弹出 的 对 话 框 中 ,输入 用 户 名 
和 密码 , 单 击 “ 连 接 ” 按 钮 ,与 服务 器 建立 连接 ,如 图 5-56 所 示 。 

(5) 连接 完成 , 单 击 “ 确 定 ” 按 钮 ,在 客户 端 上 ping 服务 端的 IP 地 址 成 功 。 
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正在 完成 新 建 连接 向 导 


您 已 成 功 完成 创建 下 列 往 接 需 要 的 步 又 


上 庶 拟 专用 网 络 连 接 
。 与 此 计算 机 上 的 所 有 用 户 共享 


此 连接 梅 被 存 入 “网 络 连 接 " 文件 来。 
万 着 我 的 丰 面 上 添加 一 个 到 开 连 接 的 快捷 方式 &) 


要 创建 此 连接 并 关闭 向 导 ， 单 击 “ 完 成 ”。 


[| 


5-55 ”客户 端 配 置 完 成 


隆 接 虚拟 专用 网 络 连 接 到 


Pew -se 
密码 人 E)-: [7 


厂 为 下 面 用 户 保存 用 户 名 和 密码 G@) : 
克 只 是 听 全 
个 任何 使 用 此 讨 息 机 的 人 A) 


取消 |。 属性 中， | 帮助 四 


图 5-56 客户 端 连接 


第 6 章 信息 系统 安全 


信息 系统 是 软 /硬件 运行 的 一 个 统一 体 ,也 是 安全 威胁 的 对 象 。 访问 控 制 是 信息 安全 的 
一 个 重要 组 成 部 分 ,其 目的 是 确保 只 有 符合 控制 策略 的 主体 才能 合法 地 访问 系统 资源 ,通常 
对 主机 操作 系统 或 路 由 器 进行 设置 来 实现 相应 的 主机 访问 控制 或 网 络 访 问 控 制 。 操 作 系 
统 、 应 用 系统 和 数据 库 系统 构成 了 软件 和 信息 管理 系统 运行 的 基础 ,也 是 本 章 重 点 讨论 的 对 
象 。 操 作 系 统 、 应 用 系统 和 数据 库 系统 的 弱点 是 黑客 攻击 的 重点 ,目的 是 获得 其 控制 权限 和 
对 数据 的 操作 权限 。 因 此 ,对 系统 的 安全 防范 也 是 信息 安全 中 的 一 个 重要 环节 。 


6.1 访问 控制 
6.1.1 访问 控制 基本 概念 
身份 认证 技术 解决 了 识别 "用户 是 谁 ? 的 问题 ,那么 认证 通过 的 用 户 是 不 是 可 以 无 条 件 
地 使 用 所 有 资源 呢 ? 答案 是 否定 的 。 访 问 控制 (Access Control) 技 术 就 是 用 来 管理 用 户 对 


系统 资源 的 访问 。 访 问 控制 是 国际 标准 ISO 7498 一 2 中 的 五 项 安全 服务 之 一 ,对 提高 信息 
系统 的 安全 性 起 到 至 关 重 要 的 作用 ,如 图 6-1 所 示 。 


访问 控制 策略 
执行 控制 
3 
(J 国 “ 
访问 操作 打印 服务 ”文件 服务 


数据 库 服 务 


客体 


图 6-1 访问 控制 示意 
访问 控制 是 针对 越权 使 用 资源 的 防御 性 措施 之 一 。 其 基本 目标 是 防止 对 任何 资源 (如 


计算 资源 .通信 资源 或 信息 资源 ) 进 行 未 授权 的 访问 ,从 而 使 资源 使 用 始终 处 于 控制 范围 内 。 
最 常见 的 是 ,通过 对 主机 操作 系统 的 设置 或 对 路 由 器 的 设置 来 实现 相应 的 主机 访问 控制 或 
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网 络 访问 控制 。 例 如 ,控制 内 网 用 户 在 上 班 时 间 使 用 QQ MSN 等 。 

访问 控制 对 实现 信息 机 密 性 、 完 整 性 起 直接 的 作用 ,还 可 以 通过 对 以 下 信息 的 有 效 控制 
来 实现 信息 和 信息 系统 可 用 性 : 谁 可 以 颁发 影响 网 络 可 用 性 的 网 络 管理 指令 ; 四 谁 能 够 
滥用 资源 以 达到 占用 资源 的 目的 ; @ 谁 能 够 获得 可 以 用 于 拒绝 服务 攻击 的 信息 。 

为 了 能 够 更 精确 地 描述 访问 控制 ,需要 对 访问 控制 的 基本 组 成 元 素 进 行 定义 说 明 。 访 
问 控制 的 基本 组 成 元 素 主要 包括 主体 .客体 和 控制 策略 。 

主体 (Subject) 是 指 提出 访问 请 求 的 实体 ,是 动作 的 发 起 者 ,但 不 一 定 是 动作 的 执行 者 。 
主体 可 以 是 用 户 或 其 他 代理 用 户 行为 的 实体 (如 进程 .作业 和 程序 等 ) 。 

客体 (Object) 是 指 可 以 接受 主体 访问 的 被 动 实体 。 客 体 的 内 涵 很 广泛 ,凡是 可 以 被 操 
作 的 信息 、 资 源 、 对 象 都 可 以 认为 是 客体 。 

访问 控制 策略 (Access Control Policy) 是 指 主 体 对 客体 的 操作 行为 和 约束 条 件 的 关联 
集合 。 简 单 地 讲 ,访问 控制 策略 是 主体 对 客体 的 访问 规则 集合 ,这 个 规则 集合 可 以 直接 决定 
主体 是 否 可 以 对 客体 实施 特定 的 操作 。 访 问 控制 策略 体现 了 一 种 授权 行为 ,也 就 是 客体 对 
主体 的 权限 允许 。 访 问 控制 策略 往往 表现 为 一 系列 的 访问 规则 ,这 些 规则 定义 了 主体 对 客 
体 的 作用 行为 和 客体 对 主体 的 条 件 约束 。 访问 控制 机 制 是 访问 控制 策略 的 软 硬 件 低层 

如 图 6-1 所 示 ,主体 对 于 客体 的 每 一 次 访问 ,访问 控制 系统 均 要 审核 该 次 访问 操作 是 否 
任 合 访问 控制 策略 ,只 允许 符合 访问 控制 策略 的 操作 请 求 ,拒绝 那些 违反 控制 策略 的 非法 访 
问 。 访 问 控制 可 以 解释 为 : 依据 一 定 的 访问 控制 策略 ,实施 对 主体 访问 客体 的 控制 。 图 6-1 
也 给 出 了 访问 控制 系统 的 两 个 主要 工作 ,一 个 是 当主 体 发 出 对 客体 的 访问 请 求 时 ,查询 相关 
的 访问 控制 策略 ; 另 一 个 是 依据 访问 控制 策略 执行 访问 控制 。 通 过 以 上 分 析 , 可 以 看 出 影 
响 访问 控制 系统 实施 效果 好 坏 的 首要 因素 是 访问 控制 策略 ,制定 访问 控制 策略 的 过 程 实际 
上 就 是 主体 对 客体 的 访问 授权 过 程 。 如 何 较 好 地 完成 对 主体 的 授权 是 访问 控制 成 功 的 关 
键 , 同 时 也 是 访问 控制 必须 研究 的 重要 课题 。 

信息 系统 的 访问 控制 技术 最 早产 生 于 20 世纪 60 年 代 , 在 70 年 代 先 后 出 现 了 多 种 访问 
控制 模型 。1985 年 美国 军 方 提出 可 信 计 算 机 系统 评估 准则 (TCSEC) ,其 中 描述 了 两 种 著名 
的 访问 控制 模型 , 即 自主 访问 控制 (Discretionary Access Control, DAC) 和 强制 访问 控制 
(Mandatory Access Control,MAC); 1992 年 美国 国家 标准 与 技术 研究 所 (NIST) 的 David 
Ferraiolo 和 Rick Kuhn 提出 一 个 基于 角色 的 访问 控制 (Role Based Access Control, RBAC) 
模型 。 

如 何 决 定 主 体 对 客体 的 访问 权限 ?一 个 主体 对 一 个 客体 的 访问 权限 能 否 转 让 给 其 他 主 
体 呢 ? 这 些 问 题 在 访问 控制 策略 中 必须 得 到 明确 的 回答 。 

1. 访问 控制 策略 制定 的 原则 

访问 控制 策略 的 制定 一 般 要 满足 如 下 两 项 基本 原则 。 

(1) 最 小 权限 原则 : 分 配给 系统 的 每 一 个 程序 和 每 一 个 用 户 的 权限 应 该 是 它们 完成 工 
作 所 必须 享有 的 权限 的 最 小 集合 。 换 句 话 说 .如 果 主 体 不 需要 访问 特定 客体 , 则 主体 就 不 应 
该 拥有 访问 这 个 客体 的 权限 。 

(2) 最 小 泄露 原则 : 主体 执行 任务 时 所 需 知道 的 信息 应 该 最 小 化 。 


第 6 章 信息 系统 安全 169 


2. 访问 权限 的 确定 过 程 

主体 对 客体 的 访问 权限 的 确定 过 程 是 : 首先 对 用 户 和 资源 进行 分 类 ,然后 对 需要 保护 
的 资源 定义 一 个 访问 控制 包 , 最 后 根据 访问 控制 包 来 制定 访问 控制 规则 集 。 

3. 用 户 分 类 

通常 把 用 户 分 为 特殊 用 户 一 般 的 用 户 、 作 审计 的 用 户 和 作废 的 用 户 。 

(1) 特殊 用 户 : 系统 管理 员 具 有 最 高 级 别 的 特权 ,可 以 访问 任何 资源 ,并 具有 任何 类 型 
的 访问 操作 能 力 。 

(2) 一 般 的 用 户 : 最 大 的 一 类 用 户 ,他 们 的 访问 操作 受到 一 定 限制 ,由 系统 管理 员 
分 配 。 

(3) 作 审 计 的 用 户 : 负责 整个 安全 系统 范围 内 的 安全 控制 与 资源 使 用 情况 的 审计 。 

(4) 作废 的 用 户 : 被 系统 拒绝 的 用 户 。 

4. 资源 的 分 类 

系统 内 需要 保护 的 资源 包括 磁盘 与 磁带 卷 标 、. 数 据 库 中 的 数据 应 用 资源 .远程 终端 、 信 
息 管 理 系统 的 事务 处 理 及 其 应 用 等 。 

5. 对 需要 保护 的 资源 定义 一 个 访问 控制 包 

内 容 包 括 资 源 名 及 拥有 者 的 标识 符 、 默 认 访 问 权 、 用 户 和 用 户 组 的 特权 明细 表 、 允 许 资 
源 拥有 者 对 其 添加 新 的 可 用 数据 操作 、 审 计数 据 等 。 

6. 访问 控制 规则 集 

访问 控制 规则 集 是 根据 第 三 步 的 访问 控制 包 得 到 的 , 它 规定 了 若干 条 件 和 在 这 些 条 件 
下 可 准许 访问 的 一 个 资源 。 规 则 使 得 用 户 与 资源 配对 ,并 指定 该 用 户 可 在 该 文件 上 执行 哪 
些 操作 ,如 只 读 , 不 许 执 行 或 不 许 访问 。“ 主 体 对 客体 的 访问 权限 能 否 转 让 给 其 他 主体 ”这 一 
问题 比较 复杂 ,不 能 简单 地 用 “能 "和 “不 能 "来 回答 。 大 家 试想 一 下 ,如 果 回 答 “ 不 能 ”, 表 面 
上 看 很 安全 ,但 按照 这 一 控制 策略 做 出 系统 后 ,我 们 就 不 可 能 实现 任何 信息 的 共享 了 。 


6.1.2 自主 访问 控制 


一 种 策略 是 对 某 个 客体 具有 所 有 权 的 主体 能 够 自主 地 将 对 该 客体 的 一 种 访问 权 或 多 种 
访问 权 授 予 其 他 主体 ,并 可 在 随后 的 任何 时 刻 将 这 些 权 限 收回 ,这 一 策略 称 为 自主 访问 控 
制 。 这 种 策略 因 灵 活性 高 ,在 实际 系统 中 被 大 量 采用 。Linux、UNIX 和 Windows 等 系统 都 
提供 了 自主 访问 控制 功能 。 在 实现 自主 访问 控制 策略 的 系统 中 ,信息 在 移动 过 程 中 其 访问 
权限 关系 会 被 改变 。 如 用 户 A 可 将 其 对 目标 O 的 访问 权限 传递 给 用 户 B, 从 而 使 本 身 不 具 
备 对 0 访问 权限 的 B 可 访问 O。 因 此 ,这 种 模型 提供 的 安全 防护 不 能 给 系统 提供 充分 的 数 
据 保护 。 

自主 访问 控制 模型 (DAC Model) 是 根据 自主 访问 控制 策略 建立 的 一 种 模型 ,允许 合法 
用 户 以 用 户 或 用 户 组 的 身份 来 访问 系统 控制 策略 许可 的 客体 ,同时 阻止 非 授权 用 户 访 问 客 
体 , 某 些 用 户 还 可 以 自主 地 把 自己 所 拥有 的 客体 的 访问 权限 授予 其 他 用 户 。UNIX、Linux 
以 及 Windows NT 等 操作 系统 都 提供 自主 访问 控制 的 功能 。 在 自主 访问 控制 系统 中 ,特权 
用 户 为 普通 用 户 分 配 的 访问 权限 信息 主要 以 访问 控制 表 (Access Control Lists,ACL) ,访问 
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控制 能 力 表 (Access Control Capability Lists, ACCL)、 访 问 控制 矩阵 (Access Control 
Matrix, ACM) 三 种 形式 来 存储 。 

ACL 是 以 客体 为 中 心 建立 的 访问 权限 表 , 其 优点 在 于 实现 简单 ,系统 为 每 个 客体 确定 
一 个 授权 主体 的 列表 ,大 多 数 主机 都 是 用 ACL 作为 访问 控制 的 实现 机 制 。 图 6-2 以 ACL 
示例 ,(Own,R,W) 表 示 读 、 写 、 管 理 操作 。 之 所 以 将 管理 操作 从 读 / 写 中 分 离 出 来 ,是 因为 
管理 员 会 对 控制 规则 本 身 或 文件 属性 等 作 修 改 , 即 修改 ACL。 例 如 ,对 于 客体 Objectl 来 
讲 ,Alice 对 它 的 访问 权限 集合 为 (Own,R,W),Bob 只 有 读 取 权 限 (R),John 拥有 读 / 写 操 


作 的 权限 (R,W)。 
Alice Bob John 
Own R 
| R R Ww 
WwW 
Objectl Pointer Pointer Pointer 
Alice Bob 
Own 
R Ww 
W 
Object Pointer Pointer 
Alice John 
Own 
R R 
Ww 
Object3 Pointer Pointer 


图 6-2 ACL 示例 
图 6-3 是 以 ACCL 示例 ,ACCL 以 主体 为 中 心 建立 的 访问 权限 表 。“ 能 力 ” 这 个 概念 可 
以 解释 为 请 求 访 问 的 发 起 者 所 拥有 的 一 个 授权 标签 ,授权 标签 表明 持 有 者 可 以 按照 某 种 访 
问 方式 访问 特定 的 客体 。 也 就 是 说 ,如 果 赋 予 某 个 主体 一 种 能 力 ,那么 这 个 主体 就 有 具有 与 该 


Objectl Object2 Object3 
Own R 
9 R R WwW 
Ww 
Alice Pointer Pointer Pointer 
Objectl Object3 
Own 
人 R Ww 
W 
ob Pointer Pointer 
Object? Object3 
Own 
me] R R 
W 
John Pointer Pointer 


图 6-3 ACCL 示例 
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能 力 对 应 的 权限 。 在 此 示例 中 ,Alice 被 赋予 一 定 的 访问 控制 能 力 , 其 具有 的 权限 包括 : 对 
Objectl 拥有 的 访问 权限 集合 为 (Own,R,.W) ,对 Object2 拥有 只 读 权限 集 (R), 对 Object3 
拥有 读 和 写 的 权限 (R,W)。 

ACM 是 通过 矩阵 形式 表示 主体 用 户 和 客体 资源 之 间 的 授权 关系 的 方法 。 表 6-1 为 
ACM 示例 ,采用 二 维 表 的 形式 来 存储 访问 控制 策略 ,每 一 行为 一 个 主体 的 访问 能 力 描述 ， 
每 一 列 为 一 个 客体 的 访问 能 力 描 述 , 整 个 矩阵 可 以 清晰 地 体现 出 访问 控制 策略 。 与 ACL 
和 ACCL 一 样 ,ACM 的 内 容 同 样 需要 特权 用 户 或 特权 用 户 组 来 进行 管理 。 另 外 ,如 果 主 体 
和 客体 很 多 ,那么 ACM 将 会 成 几何 级 增长 ,这 样 对 于 增长 了 的 矩阵 而 言 , 会 有 大 量 的 宛 余 
空间 ,如 主体 John 和 客体 Object2 之 间 没 有 访问 关系 ,但 也 存在 授权 关系 项 。 


表 6-1 ACM 示例 


Objectl 


Own,R,W R RW 
R Own,R,W 
R,W 


DAC 对 用 户 提 供 了 灵活 的 数据 访问 方式 ,授权 主体 (特权 用 户 、 特 权 用 户 组 的 成 员 以 及 
对 客体 拥有 Own 权限 的 主体 ) 均 可 以 完成 赋予 和 回收 其 他 主体 对 客体 资源 的 访问 权限 ,使 
得 DAC 广泛 应 用 于 商业 和 工业 环境 中 。 但 由 于 DAC 允许 用 户 任意 传递 权限 ,没有 访问 文 
件 filel 权限 的 用 户 A 可 能 从 有 访问 权限 的 用 户 B 那里 得 到 访问 权限 ,因此 ,DAC 模型 提供 
的 安全 防护 还 是 相对 比较 低 的 ,不 能 为 系统 提供 充分 的 数据 保护 。 


6.1.3 强制 访问 控制 


男 一 种 策略 是 根据 主体 被 信任 的 程度 和 客体 所 含 信息 的 机 密 性 和 敏感 程度 来 决定 主体 
对 客体 的 访问 权 。 用 户 和 客体 都 被 赋予 一 定 的 安全 级 别 , 用 户 不 能 改变 自身 和 客体 的 安全 
级 别 ,只 有 管理 员 才 能 确定 用 户 的 安全 级 别 且 当主 体 和 客体 的 安全 级 别 满足 一 定 的 规则 时 ， 
才 允 许 访问 。 这 一 策略 称 为 强制 访问 控制 。 在 强制 访问 控制 模型 中 ,一 个 主体 对 某 客体 的 
访问 权 只 能 有 条 件 地 转让 给 其 他 主体 ,而 这 些 条 件 是 非常 严格 的 。 例 如 ,Bell-LaPadula 模 
型 规定 ,安全 级 别 高 的 用 户 和 进程 不 能 向 比 他 们 安全 级 别 低 的 用 户 和 进程 写 入 数据 。Bell- 
LaPadula 模型 的 访问 控制 原则 可 简单 地 表示 为 “无 上 读 、 无 下 写 ”, 该 模型 是 第 一 个 将 安全 
策略 形式 化 的 数学 模型 ,是 一 个 状态 机 模型 , 即 用 状态 转换 规则 来 描述 系统 的 变化 过 程 。 
Lattice 模型 和 Biba 模型 也 属于 强制 访问 控制 模型 。 强 制 访问 控制 一 般 通 过 安全 标签 来 实 
现 单 向 信息 流通 。 

强制 访问 控制 (MAC) 是 一 种 多 级 访问 控制 策略 ,系统 事先 给 访问 主体 和 受 控 客 体 分 配 不 
同 的 安全 级 别 属性 ,在 实施 访问 控制 时 ,系统 先 对 访问 主体 和 受 控 客体 的 安全 级 别 属性 进行 比 
较 , 再 决定 访问 主体 能 否 访问 该 受 控 客体 。 为 了 对 MAC 模型 进行 形式 化 描述 ,首先 需要 将 访 
问 控制 系统 中 的 实体 对 象 分 为 主体 集 S 和 客体 集 〇 ,然后 定义 安全 类 SC(x) 二 二 L,C 二 ,其 
中 x 为 特定 的 主体 或 客体 ,L 为 有 层次 的 安全 级 别 Level,C 为 无 层次 的 安全 范畴 Category。 
在 安全 类 SC 的 两 个 基本 属性 L 和 C 中 ,安全 范畴 C 用 来 划分 实体 对 象 的 归属 ,而 同属 于 一 
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个 安全 范畴 的 不 同 实体 对 象 由 于 具有 不 同 层 次 的 安全 级 别 L, 因 而 构成 了 一 定 的 偏 序 关系 。 
例如 ,TS(Top Secret) 表 示 绝 密级 ,SCSecret) 表 示 秘 密级 ,当主 体 s 的 安全 类 别 为 TS ,而 客 
体 o 的 安全 类 别 为 S 时 ,s 与 o 的 偏 序 关 系 可 以 表述 为 SC(s) 三 SC(o) 。 依 靠 不 同 实体 安全 
级 别 之 间 存 在 的 偏 序 关 系 , 主 体 对 客体 的 访问 可 以 分 为 以 下 四 种 形式 。 

(1) 向 下 读 (Read Down,RD): 主体 安全 级 别 高 于 客体 信息 资源 的 安全 级 别 时 , 即 
SC(Cs) 三 SC(Co) ,人 允许 读 操作 。 

(2) 向 上 读 (Read Up,RU): 主体 安全 级 别 低 于 客体 信息 资源 的 安全 级 别 时 , 即 SC(s) 近 
SC(o) ,允许 读 操作 。 

(3) 向 下 写 (Write Down,WD): SC(Cs) 三 SC(Co) 时 ,人 允许 写 操作 。 

(4) 向 上 写 (Write Up, WU): SC(Cs) 过 SC(Co) 时 ,人 允许 写 操作 。 

由 于 MAC 通过 分 级 的 安全 标签 实现 了 信息 的 单 向 流动 ,因此 它 一 直 被 军 方 采用 ,其 中 
最 著名 的 是 Bell-LaPadula 模型 和 Biba 模型 。Bell-LaPadula 模型 具有 只 允许 向 下 读 、 向 上 
写 的 特点 ,可 以 有 效 防止 机 密 信息 向 下 级 泄露 ,保护 机 密 性 ; Biba 模型 则 具有 只 允许 向 上 
读 、 向 下 写 的 特点 ,可 以 有 效 地 保护 数据 的 完整 性 。 

表 6-2 为 MAC 信息 流 安全 控制 ,可 以 看 出 机 密 层次 的 主体 对 于 比 它 密级 高 的 客体 , 它 
只 有 写 操作 权限 ; 而 对 于 比 它 级 别 低 的 客体 , 则 拥有 读 操作 权限 。 这 符合 RD 和 WU, 与 
Bell-LaPadula 模型 的 信息 流 控制 一 致 ,可 以 保证 信息 的 机 密 性 。 

表 6-2 MAC 信息 流 安全 控制 


主体 TS S U High 
TS R/W R R R 
局 Ww R/W R R | 
S Ww W R/W R 
U WwW Ww WwW R/W Low 


注 : 绝密 (Top Secret,TS) ,机 密 (Confidential,C) ,秘密 (Secret,S) ,无 密 (Unclassified,U) 


6.1.4 基于 角色 的 访问 控制 


将 访问 权限 分 配给 一 定 的 角色 ,用户 根据 自己 的 角色 获得 相应 的 访问 许可 权 , 这 便 是 基 
于 角色 的 访问 控制 策略 。 角 色 是 指 一 个 可 以 完成 一 定 职能 的 命名 组 。 角色 与 组 是 有 区 别 
的 ,组 是 一 组 用 户 的 集合 ,而 角色 是 一 组 用 户 集合 外 加 一 组 操作 权限 集合 。 一 般 认为 Group 
是 具有 某 些 相同 特质 的 用 户 集合 。 在 UNIX 操作 系统 中 Group 可 以 被 看 成 拥有 相同 访问 
权限 的 用 户 集合 ,定义 用 户 组 时 会 为 该 组 赋予 相应 的 访问 权限 。 如 果 一 个 用 户 加 入 了 该 组 ， 
则 该 用 户 即 具有 了 该 用 户 组 的 访问 权限 ,可 以 看 出 组 内 用 户 继承 了 组 的 权限 。 

如 图 6-4 所 示 ,Role( 角 色 ) 的 概念 可 以 这 样 理解 : 一 个 角色 是 一 个 与 特定 工作 活动 相关 
联 的 行为 与 责任 的 集合 。Role 不 是 用 户 的 集合 ,也 就 与 组 Group 不 同 。 当 将 一 个 角色 与 一 
个 组 绑 定 , 则 这 个 组 就 拥有 了 该 角色 拥有 的 特定 工作 的 行为 能 力 和 责任 。 组 Group 和 用 户 
User 都 可 以 看 成 角色 分 配 的 单位 和 载体 。 而 一 个 Role( 角 色 ) 可 以 看 成 具有 某 种 能 力 或 某 
些 属 性 的 主体 的 一 个 抽象 。 

Role 的 目的 是 隔离 用 户 CSubject ,动作 客体 ) 与 Privilege( 权 限 , 指 对 客体 ) 的 一 个 访问 
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Privilege 


CC 


Acquire Access 


图 6-4 基于 角色 的 访问 控制 模型 


操作 , 即 操 作 (Operation) 十 客体 对 象 (Object)。Role 作为 一 个 用 户 与 权限 的 代理 层 , 所 有 
的 授权 应 该 给 予 Role 而 不 是 直接 给 User 或 Group。RBAC 模型 的 基本 思想 是 将 访问 权限 
分 配给 一 定 的 角色 ,用 户 通过 饰演 不 同 的 角色 获得 角色 所 拥有 的 访问 许可 权 。 

在 基于 角色 的 访问 控制 模型 中 ,只 有 系统 管理 员 才 能 定义 和 分 配角 色 ,用 户 不 能 自主 地 
将 对 客体 的 访问 权 转 让 给 别 的 用 户 。 比 较 而 言 ,自主 访问 控制 配置 的 力度 小 、 配 置 的 工作 量 
大 效率 低 ,强制 访问 控制 配置 的 力度 大 、 缺 乏 灵活 性 ,而 基于 角色 的 访问 控制 策略 是 与 现代 
的 商业 环境 相 结合 的 产物 ,具有 灵活 方便 和 安全 的 特点 ,是 实施 面向 企业 安全 策略 的 一 种 
有 效 的 访问 控制 方式 ,目前 常用 于 大 型 数据 库 系 统 的 权限 管理 。 下 面 介绍 一 个 基于 角色 的 
访问 控制 实例 。 

在 银行 环境 中 ,用 户 角 色 可 以 定义 为 出 纳 员 、 分 行 管理 者 、 顾 客 、 系 统管 理 者 和 审计 员 ， 
相应 的 访问 控制 策略 可 如 下 规定 : 

(1) 允许 一 个 出 纳 员 修改 顾客 的 账号 记录 (包括 存款 和 取款 .转账 等 ) ,并 允许 查询 所 有 
账号 的 注册 项 。 

(2) 允许 一 个 分 行 管理 者 修改 顾客 的 账号 记录 (包括 存款 和 取款 ,但 不 包括 规定 的 资金 
数目 的 范围 ) 并 允许 查询 所 有 账号 的 注册 项 ,也 允许 创建 和 终止 账号 。 

(3) 允许 一 个 顾客 只 询问 他 自己 的 账号 的 注册 项 。 

(4) 允许 系统 的 管理 者 询问 系统 的 注册 项 和 开关 系统 ,但 不 允许 读 或 修改 用 户 的 账号 

(5) 允许 一 个 审计 员 读 系统 中 的 任何 数据 ,但 不 允许 修改 任何 事情 。 该 策略 陈述 易于 
被 非 技术 的 组 织 策略 者 理解 ,同时 也 易于 映射 到 访问 控制 矩阵 或 基于 组 的 策略 陈述 。 另 外 ， 
该 策略 还 同时 具有 基于 身份 策略 的 特征 和 基于 规则 策略 的 特征 。 

基于 角色 的 访问 控制 具有 如 下 优势 : 

(1) 便于 授权 管理 。 例 如 ,系统 管理 员 需 要 修改 系统 设置 等 内 容 时 ,必须 有 几 个 不 同 角 
色 的 用 户 到 场 方 能 操作 ,从 而 保证 了 安全 性 。 

(2) 便于 根据 工作 需要 分 级 。 例 如 ,企业 财务 部 门 与 非 财务 部 门 的 员工 对 企业 财务 的 
访问 权 就 可 由 财务 人 员 这 个 角色 来 区 分 。 

(3) 便于 赋予 最 小 特权 。 例 如 ,即使 用 户 被 赋予 高 级 身份 时 也 未 必 一 定 要 使 用 ,以 便 减 
少 损失 ,只 有 必要 时 方 能 拥有 特权 。 

(4) 便于 任务 分 担 , 不 同 的 角色 完成 不 同 的 任务 。 在 基于 角色 的 访问 控制 中 ,一 个 个 人 
用 户 可 能 是 不 止 一 个 组 或 角色 的 成 员 , 有 时 又 可 能 有 所 限制 。 

(5) 便于 文件 分 级 管理 。 文 件 本 身 也 可 分 为 不 同 的 角色 ,如 信件 、 账 单 等 ,由 不 同 角 色 
的 用 户 拥 有 。 

在 各 种 访问 控制 系统 中 ,访问 控制 策略 的 制定 实施 都 是 围绕 主体 、 客 体 和 操作 权限 三 者 
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之 间 的 关系 展开 。 有 三 个 基本 原则 是 制定 访问 控制 策略 时 必须 遵守 的 。 

(1) 最 小 特权 原则 ,是 指 主体 执行 操作 时 ,按照 主体 所 需 权利 的 最 小 化 原则 分 配给 主体 
权力 。 最 小 特权 原则 的 优点 是 最 大 限度 地 限制 了 主体 实施 授权 行为 ,可 以 避免 来 自 突 发 事 
件 和 错误 操作 带 来 的 危险 。 

(2) 最 小 泄漏 原则 ,是 指 主体 执行 任务 时 ,按照 主体 所 需要 知道 信息 的 最 小 化 原则 分 配 
给 主体 访问 权限 。 

(3) 多 级 安全 策略 ,是 指 主体 和 客体 间 的 数据 流 方向 必须 受到 安全 等 级 的 约束 。 多 级 
安全 策略 的 优点 是 避免 敏感 信息 的 扩散 。 对 于 具有 安全 级 别 的 信息 资源 ,只 有 安全 级 别 比 
它 高 的 主体 才能 够 对 其 进行 访问 。 


6.2 操作 系统 安全 


操作 系统 是 硬件 之 上 的 第 一 层 软件 ,作为 计算 机 系统 核心 的 系统 软件 ,负责 控制 和 管理 
计算 机 系统 资源 ,其 他 软件 都 依赖 于 操作 系统 的 支持 。 因 此 ,操作 系统 安全 是 信息 系统 安全 
的 基础 。 操 作 系统 的 设计 和 实现 非常 复杂 ,好 的 、 完 善 的 操作 系统 不 仅 要 能 有 效 地 组 织 和 管 
理 计算 机 的 各 类 资源 、 合 理 组 织 计 算 机 工作 流程 、 保 证 系统 的 高 效 运行 ,还 应 能 阻止 各 类 攻 
击 、 保 证 计算 机 上 各 类 信息 和 数据 的 安全 。 现 代 操 作 系统 存在 不 少 的 安全 漏洞 或 后 门 ,并 且 
默认 的 安全 设置 容易 受到 攻击 。 因 此 ,减少 安全 漏洞 或 后 门 对 计算 机 系统 的 威胁 ,必须 对 操 
作 系 统 设 计 合理 的 安全 机 制 。 


6.2.1 操作 系统 安全 机 制 
操作 系统 不 安全 的 主要 原因 是 操作 系统 结构 体制 的 缺陷 。 对 操作 系统 构成 的 威胁 主要 


有 计算 机 病毒 ,特洛伊 木马、 隐秘 通道 和 天 窗 等 。 操 作 系 统 所 具有 的 安全 机 制 包括 身份 认 
证 ,访问 控制 .权限 管理 、 内 存 保护 、 文 件 保护 、 安 全 审计 等 。 
1. 身份 认证 机 制 


身份 认证 是 证 明 某 人 或 某 个 对 象 身份 的 过 程 ,是 保证 系统 安全 的 重要 措施 。 身 份 认 证 
需要 用 一 个 标识 来 表示 用 户 的 身份 。 将 用 户 标识 和 用 户 联系 的 过 程 称 为 认证 。 操 作 系统 的 
许多 保护 措施 大 都 基于 认证 系统 的 合法 用 户 , 身 份 认证 是 操作 系统 中 相当 重要 的 一 个 方面 ， 
也 是 用 户 获 取 权 限 的 关键 。 

2. 访问 控制 机 制 

访问 控制 技术 是 计算 机 安全 领域 一 项 传统 的 技术 ,其 基本 任务 就 是 防止 非法 用 户 进入 
系统 及 合法 用 户 对 系统 资源 的 非法 使 用 。 自 主 访问 控制 根据 用 户 的 身份 及 允许 访问 权限 决 
定 其 访问 操作 。 强 制 访问 控制 是 用 户 与 文件 都 有 一 个 固定 的 安全 属性 ,系统 用 该 安全 属性 
来 决定 一 个 用 户 是 否 可 以 访问 某 个 文件 。 基 于 角色 的 访问 控制 解决 了 具有 大 量 用 户 、 数 据 
客体 和 访问 权限 的 系统 中 授权 管理 问题 。 

3. 最 小 特权 管理 机 制 

最 小 特权 是 指 在 完成 某 种 操作 时 赋予 每 个 主体 (用 户 或 进程 ) 必 不 可 少 的 特权 。 最 小 特 
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权 原 则 一 方面 给 予 主体 必 不 可 少 的 特权 ,保证 了 所 有 的 主体 能 在 所 赋予 的 特权 之 下 完成 所 
需要 完成 的 任务 或 操作 ; 另 一 方面 , 它 只 给 予 主体 必 不 可 少 的 特权 ,从 而 限制 了 每 个 主体 所 
能 进行 的 操作 ,确保 由 于 可 能 的 事故 、 错 误 、 网 络 部 件 的 算 改 等 原因 造成 的 损失 最 小 。 

4. 可 信和 通路 机 制 

可 信和 通路 (Trust Path) 是 终端 员 能 借以 直接 同 可 信 计 算 基 (Trusted Computing 
Base,TCB) 通 信 的 一 种 机 制 。 可 信 通 路 机 制 只 能 由 有 关 终 端 人 员 或 可 信 计 算 基 启动 ,并 且 
不 能 被 不 可 信和 软件 模仿 。 可 信和 通路 机 制 主要 应 用 在 用 户 登 录 或 注册 时 ,能 够 保证 用 户 确实 
是 和 安全 核心 通信 ,防止 不 可 信 进 程 ( 如 特洛伊 木马 等 ) 模 拟 系统 的 登录 过 程 而 窃取 口令 。 

5. 隐蔽 通道 的 分 析 与 处 理 

隐蔽 通道 是 指 系 统 中 利用 那些 本 来 不 是 用 于 通信 的 系统 资源 绕 过 强制 访问 控制 进行 非 
法 通信 的 一 种 机 制 。 系 统 内 充满 着 隐蔽 通道 。 对 于 系统 中 的 每 一 个 信息 比特 ,如 果 它 能 由 
一 个 进程 修改 而 由 另 一 个 进程 读 取 ( 直 接 或 间接 ) , 那 它 就 是 一 个 潜在 的 隐蔽 通道 。 

6. 安全 审计 机 制 

审计 为 系统 进行 事故 原因 的 查询 .定位 ,事故 发 生前 的 预测 .报警 以 及 事故 发 生 之 后 的 
实时 处 理 提供 详细 .可靠 的 依据 和 支持 ,以 便 有 违反 系统 安全 规则 的 事件 发 生 后 能 够 有 效 地 
追查 事件 发 生 的 地 点 和 过 程 。 操 作 系 统 必须 能 够 生成 、 维 护 及 保护 审计 过 程 ,防止 其 被 非法 
修改 .访问 和 毁坏 ,特别 是 要 保护 审计 数据 ,严格 限制 未 经 授权 的 用 户 访问 。 

1972 年 ,J. P. Anderson 指出 ,开发 安全 的 系统 ,首先 必须 建立 系统 的 安全 模型 ,完成 安 
全 系统 的 建 模 之 后 ,再 进行 安全 内 核 的 设计 与 实现 。 历 史上 ,主要 安全 操作 系统 模型 有 
BLP 机 密 性 安全 模型 .Biba 完整 性 安全 模型 .Clark-Wilson 完整 性 安全 模型 .信息 流 模型 、 
RBAC 安全 模型 .DTE 安全 模型 .无 干扰 安全 模型 等 。 每 一 种 模型 都 有 一 套 完 善 的 规则 来 
限制 系统 中 信息 的 流动 。 一 个 安全 操作 系统 的 审计 机 制 就 是 对 系统 中 有 关 安 全 的 活动 进行 
记录 ,检查 及 审核 , 它 的 主要 目的 就 是 检测 和 阻止 非法 用 户 对 计算 机 系统 的 入 侵 , 并 显示 合 
法 用 户 的 误 操作 。 审 计 作为 安全 系统 的 重要 组 成 部 分 ,评价 小 型 操作 系统 安全 性 的 主要 依 
据 是 1985 年 发 布 的 美国 国防 部 开发 的 可 信 计 算 机 系统 评价 准则 (Trusted Computer 
System Evaluation Criteria,TCSEC) ,该 标准 把 安全 级 别 从 低 到 高 分 成 四 个 类 别 , 每 个 类 别 
又 分 为 几 个 级 别 。TCSEC 定义 的 大 致 内 容 如 下 。 

A: 校 验 级 保护 ,提供 低级 别 手段 。 

B3: 安全 域 ,数据 隐藏 与 分 层 . 屏 项 。 

B2: 结构 化 内 容 保护 ,支持 硬件 保护 。 

Bl1: 标记 安全 保护 ,例如 System V 等 。 

C2: 有 自主 的 访问 安全 性 ,区 分 用 户 。 

Cl: 不 区 分 用 户 ,基本 的 访问 控制 。 

D: 没有 安全 性 可 言 ,如 MS DOS。 

为 了 实现 对 信息 或 数据 的 访问 控制 功能 .Windows 操作 系统 提供 了 特有 的 访问 控制 
机 制 。 

(1) CPU 的 工作 模式 。 

出 于 安全 性 和 稳定 性 的 考虑 ,从 Intel 80386 开始 ,该 系列 的 CPU 可 以 运行 于 ring0 一 
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ring3 从 高 到 低 四 个 不 同 的 权限 级 ,对 数据 也 提供 相应 的 四 个 保护 级 别 。 运 行 于 较 低级 别 的 
代码 不 能 随意 调用 高 级 别 的 代码 和 访问 较 高 级 别 的 数据 ,而 且 也 只 有 运行 在 ring0 层 的 代 
码 可 以 直接 对 物理 硬件 进行 访问 。Windows 只 利用 了 CPU 的 两 个 运行 级 别 。 一 个 被 称 为 
内 核 模式 ,对 应 80x86 的 ring0 层 , 它 是 操作 系统 的 核心 部 分 ,设备 驱动 程序 就 是 运行 在 该 
模式 下 ; 另 一 个 被 称 为 用 户 模式 ,对 应 80x86 的 ring3 层 , 操 作 系统 的 用 户 接口 部 分 以 及 所 
有 的 用 户 应 用 程序 都 运行 在 该 级 别 。Windows 对 运行 在 内 核 模式 的 组 件 空 间 不 提供 读 / 写 
保护 。 运 行 于 内 核 模式 的 进程 可 以 执行 任何 指令 访问 任何 地 址 ,而 运行 于 用 户 模式 的 进程 
访问 的 地 址 空间 是 受到 限制 的 ,能 够 执行 的 指令 也 是 受 限 的 ,例如 ,这 些 进程 不 能 更 改 其 子 
进程 之 外 的 别 的 进程 的 状态 等 。 

(2) 定时 器 (timer) 。 

操作 系统 通过 启用 定时 器 来 限制 用 户 程 序 对 CPU 的 使 用 ,并 能 防止 用 户 程 序 修 改定 
时 器 ,因而 能 够 防止 用 户 程序 滥用 CPU 的 行为 。 

(3) 内 存 保护 。 

目前 操作 系统 都 能 限制 一 个 用 户 进程 访问 其 他 用 户 进程 私有 地 址 空间 的 行为 ,限制 方 
法 包括 使 用 栅栏 、 重 定位 、 基 址 / 限 址 寄存 器 ,对 内 存 分 段 、 分 页 等 。 对 于 共享 的 内 存 地 址 也 
提供 了 锁 保 护 措施 。 

(4) 文件 保护 。 

在 Windows 中 ,文件 和 目录 以 及 所 有 的 基本 操作 系统 数据 结构 都 被 称 为 对 象 , 每 个 对 
象 有 一 个 拥有 者 ,对 对 象 的 访问 需要 主体 出 示 访 问 令 牌 , 只 有 访问 令 牌 能 和 对 象 的 访问 控制 
列表 中 的 访问 控制 条 目 匹配 ,系统 才 允 许 该 主体 访问 该 对 象 。 

(5) 安全 组 件 。 

Windows 的 安全 组 件 包括 安全 标识 符 (SID) .访问 令 牌 (Access Token) ,安全 描述 符 、 
访问 控制 列表 (ACL) 和 访问 控制 条 目 (ACE)。 

其 中 安全 标识 符 (SID) 是 分 给 所 有 用 户 、 组 和 计算 机 的 统计 上 的 唯一 号 码 。 每 次 一 个 
新 的 用 户 或 组 被 建立 时 , 它 就 收 到 一 个 唯一 的 SID。 当 Windows 安装 和 建立 时 ,一 J 
SID 就 分 给 那 台 计 算 机 了 。SID 唯一 地 标识 用 户 、 组 和 计算 机 ,不 仅 在 特定 的 计算 机 上 ， 
包括 与 其 他 计算 机 交互 时 的 。 在 用 户 被 验证 之 后 ,系统 会 分 配给 用 户 一 个 访问 令 牌 。 
令 牌 是 系统 访问 资源 的 “人 场 券 ", 只 要 用 户 试图 访问 某 种 资源 ,就 要 出 示 访 问 令 牌 。 然 后 系 
统 对 照 请 求 对 象 的 访问 控制 列表 检查 访问 令 牌 。 如 果 被 许可 , 则 以 适当 的 方式 认可 访问 。 
访问 令 牌 只 有 在 登录 过 程 期 间 才 能 被 分 发 .所 以 对 用 户 访问 权限 的 任何 改变 ,都 要 求 用户 先 
注销 ,然后 重新 登录 后 接收 更 新 的 访问 令 牌 。Windows 中 每 个 对 象 有 一 个 安全 描述 符 , 作 
为 它 属性 的 一 部 分 。 安 全 描述 符 由 对 象 所 有 者 的 SID、POSIX 子 系统 使 用 的 组 的 SID、 自 主 
访问 控制 列表 和 系统 访问 控制 列表 组 成 。 访 问 控 制 条 目 即 访问 控制 列表 的 表 项 ,每 个 访问 
控制 条 目 包含 用 户 或 组 的 SID 和 分 配给 该 对 象 的 权限 。 管 理工 具 为 一 个 对 象 列 出 访问 权 
限时 总 是 按照 用 户 字母 顺序 列 的 ,所 以 管理 员 的 访问 权限 总 在 前 面 。 安 全 模型 是 对 安全 策 
略 所 表达 的 安全 需求 的 简单 .抽象 和 无 歧义 的 描述 ,而 模型 的 实现 则 描述 了 如 何 把 特定 的 机 
制 应 用 于 系统 中 ,从 而 实现 某 一 特定 安全 策略 所 需 的 安全 保护 。 

目前 , Windows 2000 以 上 版 本 的 操作 系统 均 能 达到 C2 级 安全 。C2 级 安全 标准 的 主要 
特征 : 自主 的 访问 控制 ; 对 象 再 利用 必须 由 系统 控制 ; 用 户 标识 和 认证 ; 能 够 审查 所 有 安 
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全 相关 事件 和 个 人 活动 .只 有 管理 员 才 有 权限 访问 设计 记录 。 
6.2.2 操作 系统 攻击 技术 

对 操作 系统 的 威胁 有 多 种 手段 ,下 面 从 主动 攻击 和 被 动 攻击 等 方面 进行 介绍 。 

1. 针对 认证 的 攻击 

操作 系统 通过 认证 手段 鉴别 并 控制 计算 机 用 户 对 系统 的 登录 和 访问 ,但 由 于 操作 系统 
提供 了 多 种 认证 登录 手段 ,利用 系统 在 认证 机 制 方面 的 缺陷 或 者 不 健全 之 处 ,可 以 实施 对 操 
作 系 统 的 攻击 。 包 括 : 利用 字典 攻击 或 者 暴力 破解 等 手段 ,获取 操作 系统 的 账号 .口令 ; 利 
用 Windows 的 IPC$ 功能 ,实现 空 连接 并 传输 恶意 代码 ; 利用 远程 终端 服务 即 3389 端口 ， 
开启 远程 桌面 控制 等 。 

2. 基于 漏洞 的 攻击 

系统 漏洞 是 攻击 者 对 操作 系统 进行 攻击 时 经 常 利用 的 手段 。 系 统 存在 漏洞 的 情况 下 ， 
通过 攻击 脚本 ,可 以 使 攻击 者 远程 获得 对 操作 系统 的 控制 。Windows 操作 系统 的 漏洞 由 微 
软 公司 每 月 定期 以 安全 公告 的 形式 对 外 公布 ,对 系统 威胁 最 大 的 漏洞 包括 远程 溢出 漏洞 ,本 
地 提 权 类 漏洞 ,用 户 交互 类 漏洞 等 。 

3. 直接 攻击 

直接 攻击 是 攻击 者 在 对 方 防护 很 严密 的 情况 下 ,通常 采用 的 一 种 攻击 方法 。 例 如 , 当 操 
作 系 统 的 补丁 及 时 打上 ,并 配备 防火 墙 、 防 病毒 、 网 络 监 控 等 基本 防护 手段 时 ,通过 上 面 的 攻 
击 手段 就 难以 奏效 。 此 时 ,攻击 者 采用 电子 邮件 ,以 及 QQ、MSN 等 即时 消息 软件 ,发 送 带 
有 恶意 代码 的 信息 ,通过 诱骗 对 方 点 击 ,安装 恶意 代码 。 这 种 攻击 手段 ,可 直接 穿 过 防火 墙 
等 防范 手段 对 系统 进行 攻击 。 

4. 被 动 攻击 

被 动 攻击 是 在 没有 明确 的 攻击 目标 ,并 且 对 方 防范 措施 比较 严密 情况 下 的 一 种 攻击 手 
段 。 主 要 是 通过 建立 或 者 攻陷 一 个 对 外 提供 服务 的 应 用 服务 器 , 算 改 网 页 内 容 , 设 置 恶意 代 
码 ,诱骗 普通 用 户 点 击 的 情况 下 ,对 普通 用 户 进行 的 攻击 。 由 于 普通 用 户 不 知 网 页 被 算 改 后 
含有 恶意 代码 ,自己 点 击 后 被 动 地 安装 上 恶意 软件 ,从 而 被 实施 了 对 系统 的 有 效 渗透 。 

5. 攻击 成 功 后 恶意 软件 的 驻 留 

攻击 一 旦 成 功 后 ,恶意 软件 的 一 个 主要 功能 是 对 操作 系统 的 远程 控制 ,并 通过 信息 回 
传 .开启 远程 连接 、 进 行 远程 操作 等 手段 造成 目标 计算 机 的 信息 泄漏 。 恶 意 软 件 一 旦 入 侵 成 
功 , 将 采用 多 种 手段 在 目标 计算 机 进行 驻 留 .例如 通过 写 入 注册 表 实 现 开机 自动 启动 ,采用 
rootkit 技术 进行 进程 、 端 口 .文件 隐藏 等 ,目的 就 是 实现 自己 在 操作 系统 中 不 被 发 现 ,以 更 
长 久 地 对 目标 计算 机 进行 控制 。 


6.2.3 Windows 系统 安全 体系 结构 


如 图 6-5 所 示 ,Windows 系统 采用 的 是 层次 性 的 安全 架构 ,整个 安全 架构 的 核心 是 安全 
策略 ,完善 的 安全 策略 决定 了 系统 的 安全 性 。Windows 系统 的 安全 策略 明确 了 系统 各 个 安 
全 组 件 如 何 协 调 工作 ,Windows 系统 安全 开始 于 用 户 认证 ,是 其 他 安全 机 制 能 够 有 效 实施 
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的 基础 ,处 于 安全 框架 的 最 外 层 。 常 见 的 认证 机 制 包含 登录 口令 和 令 牌 。 


User Authentication 
(用 户 认证 ) 
Encryption 


Security Policy 审 
(安全 策略 ) 查 


uonensiurupy 


Access Control 
(访问 控制 ) 
User Authentication 


(用 户 认证 ) 


图 6-5 Windows 系统 的 安全 架构 


加 密 和 访问 控制 处 于 用 户 认 证 之 后 ,是 保证 系统 安全 的 主要 手段 ,加 密 保证 了 系统 与 用 
户 之 间 的 通信 及 数据 存储 的 机 密 性 ; 访问 控制 则 维护 了 用 户 访问 的 授权 原则 。 审 查 和 管理 
处 于 系统 的 内 核 层 ,负责 系统 的 安全 配置 和 事故 处 理 , 审 查 可 以 发 现 系 统 是 否 曾经 遭受 过 攻 
击 或 者 正在 遭受 攻击 ,并 进行 追查 ; 管理 则 是 为 用 户 有 效 控制 系统 提供 功能 接口 。 

Windows 系统 的 安全 性 主要 围绕 安全 主体 展开 ,保护 其 安全 性 。 安 全 主体 主要 包括 用 
户 .组 .计算 机 以 及 域 等 。 用 户 是 Windows 系统 中 操作 计算 机 资源 的 主体 ,每 个 用 户 必 须 先 
行 加 入 Windows 系统 ,并 被 指定 唯一 的 账户 ,组 是 用 户 账户 集合 的 一 种 容器 ,同时 组 也 被 赋 
予 了 一 定 的 访问 权限 , 放 到 一 个 组 中 的 所 有 账户 都 会 继承 这 些 权 限 ; 计算 机 是 指 一 台独 立 
计算 机 的 全 部 主体 和 客体 资源 的 集合 ,也 是 Windows 系统 管理 的 独立 单元 ; 域 是 使 用 域 控 
制 器 (Domain Controller,DC) 进 行 集中 管理 的 网 络 , 域 控制 器 是 共享 的 域 信息 的 安全 存储 
仓库 ,同时 也 作为 域 用 户 认证 的 中 央 控 制 机 构 。 

Windows 系统 的 安全 性 主要 是 由 它 的 安全 子 系统 来 提供 ,安全 子 系 统 既 可 以 用 于 工作 
站 ,也 可 以 用 于 服务 器 ,区 别 只 在 于 服务 器 版 的 用 户 账户 数据 库 可 以 用 于 整个 域 ,而 工作 站 
版 的 数据 库 只 能 本 地 使 用 。 如 图 6-6 所 示 ,Windows 系统 的 安全 性 服务 运行 在 两 种 模式 下 ， 
安全 参考 监视 器 (Security Reference Monitor, SRM) 运 行 在 内 核 模 式 下 ,作为 Windows 
Executive 的 一 部 分 ; 而 用 于 与 用 户 进行 交互 的 主要 安全 服务 即 本 地 安全 机 构 主 要 包括 身 
份 认证 ,访问 控制 和 事件 审查 等 。 

安全 引用 监视 器 (SRM) 是 Windows 系统 所 有 安全 服务 的 基础 ,运行 在 内 核 模 式 下 , 负 
责 检查 一 个 用 户 是 否 有 权限 访问 一 个 客体 对 象 或 者 是 否 有 权利 完成 某 些 动作 ,对 每 个 客体 
对 象 的 访问 必须 得 到 内 核 层 SRM 的 有 效 性 访问 授权 ,否则 访问 无 法 完成 。SRM 的 另 一 个 
功能 是 与 LSA 配合 来 监视 用 户 对 客体 对 象 的 访问 ,并 生成 事件 日 志 传送 给 事件 记录 器 保 
存 ,为 管理 员 的 事件 审计 提供 依据 。 

LSA 安全 服务 主要 由 本 地 安全 机 构 子 系统 (Local Security Authority SubsyStem, LSASS) 
登录 模块 WinLogon 两 个 服务 来 完成 。WinLogon 是 系统 启动 时 自动 加 载 的 一 个 进程 ,监视 
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Msv1_0.dll 

用 户 模式 kerberosdll 
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内 核 模式 安全 参考 监视 炭 (SRM) 


图 6-6 ”Windows 安全 子 系统 


整个 登录 过 程 , 同 时 可 以 加 载 GINA (Graphical Identification and Authentication ) 进程 , 提 
供 图 形 化 的 认证 界面 。LSASS 主要 包括 LSA 服务 、 安 全 账户 管理 (Security Account 
Management,SAM) 、 网 络 登录 服务 NetLogon 等 基本 组 件 。 

LSA 服务 是 用 户 与 系统 的 交流 通道 , 它 提 供 了 许多 服务 程序 帮助 用 户 完 成 许多 工作 ， 
主要 包括 提供 交互 式 登录 认证 服务 .创建 用 户 的 访问 令 牌 、 储 存 和 映射 用 户 权 限 .设置 和 管 
理 审核 策略 等 。LSA 与 用 户 交涉 涉及 许多 服务 进程 ,与 WinLogon 合作 完成 用 户 登 录 ; 调 
用 Msvl_0. dll 支持 NT LanMan 认证 的 服务 ,调用 Kerberos. dll 支持 Kerberos 认证 的 服 
务 ,可 见 LSA 可 以 为 系统 提供 丰富 的 认证 机 制 。 

SAM 是 实现 用 户 身份 认证 的 主要 依据 ,在 SAM 数据 库 保 存 着 用 户 账号 和 口令 等 数 
据 ,为 LSA 提供 数据 查询 。NetLogon 是 进行 域 登录 的 重要 部 件 ,首先 通过 安全 通道 与 域 中 
控制 器 建立 连接 ,然后 再 通过 安全 的 通道 传递 用 户 的 口令 ,完成 域 登录 。 图 6-7 是 Windows 
登录 认证 流程 ,SSPI(Security Support Provider Interface) 是 微软 公司 提供 的 公用 API 接 
口 , 第 三 方 利 用 该 接口 获得 不 同 的 安全 性 服务 而 不 必修 改 协议 本 身 。 


SAM NetLogon 


图 6-7 Windows 登录 认证 机 制 


6.2.4 Windows 系统 的 访问 控制 
Windows 系统 的 访问 控制 是 其 安全 性 的 基础 构建 之 一 。 访问 控 制 模块 有 两 个 主要 的 
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三 


组 成 部 分 : 笔试 访问 令 牌 (Access Token) 和 安全 描述 符 (Security Descriptor) ,它们 分 别 被 
访问 者 和 被 访问 者 持 有 。 通 过 访问 令 牌 和 安全 描述 符 的 内 容 , Windows 可 以 确定 持 有 令 牌 
的 访问 者 能 否 访 问 持 有 安全 描述 符 的 对 象 。Windows 中 的 每 个 账户 或 账户 组 都 有 一 个 安 
全 标识 符 (Security IDentity, SID) ,系统 的 Administrator、Users 等 账户 或 者 账户 组 在 
Windows 内 部 均 使 用 SID 来 标识 ,每 个 SID 在 同一 个 系统 中 都 是 唯一 的 。 

访问 令 牌 是 一 个 被 保护 的 对 象 ,每 一 个 访问 令 牌 都 与 特定 的 Windows 账户 相关 联 , 访 
问 令 牌 包含 该 账户 的 SID、 所 属 组 的 SID 以 及 账户 的 特权 信息 。 当 一 个 账户 登录 的 时 候 ， 
LSA 会 从 内 部 数据 库 里 读 取 该 账户 的 信息 ,然后 使 用 这 些 信息 生成 一 个 访问 令 牌 。 当 用 户 
试图 访问 系统 资源 时 ,需要 将 拥有 的 令 牌 提供 给 SRM,SRM 会 检查 用 户 试 图 访问 的 对 象 的 
访问 控制 列表 。 

每 个 被 访问 的 客体 对 象 都 与 一 个 安全 描述 符 相 关联 ,安全 描述 符 用 来 描述 客体 对 象 的 
属性 及 安全 规则 ,包含 客体 对 象 所 有 者 的 SID 和 ACL。ACL 包含 自主 访问 控制 列表 
(Discretionary Access Control List,DACL) 和 系统 访问 控制 列表 (System Access Control 
List,SACL)。DACL 由 多 个 访问 控制 项 (Access Control Entry, ACE) 组 成 ,每 个 访问 控制 
项 的 内 容 描述 了 允许 或 拒绝 特定 账户 对 这 个 对 象 执行 特定 操作 。SACL 是 为 系统 审查 服务 
的 , 它 的 内 容 决定 了 当 特 定 账户 对 该 客体 对 象 执行 特定 操作 时 ,其 行为 是 否 会 被 记录 到 系统 
日 志 中 。 

图 6-8 所 示 ,Smith 的 进程 Thread A 访问 客体 对 象 FILE. txt, 则 SRM 依据 Smith 的 访 
问 令 牌 的 信息 和 FILE. txt 的 安全 描述 符 进行 审核 ,由 于 安全 描述 符 中 DACL 包含 有 访问 
控制 项 ACE1 ,其 内 容 是 拒绝 Smith 的 读 操作 Read、 写 操作 Write 和 执行 操作 Execute, 因 
此 SRM 拒绝 Thread A; 而 SRM 根据 DACL 的 内 容 允 许 Thread B 访问 FILE. txt。 
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图 6-8 ”Windows 访问 控制 模型 
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6.2.5 Windows 活动 目录 与 组 策略 


Windows 网 络 管理 中 有 两 个 非常 重要 的 技术 ,活动 目录 (Active Directory,AD) 和 组 策 
略 (Group Policy,GP) ,它们 协调 工作 有 效 提升 了 Windows 网 络 的 安全 性 。AD 存储 有 关 
网 络 对 象 的 信息 ,让 管理 员 和 用 户 轻 松 查找 和 使 用 这 些 信 息 。AD 是 一 个 面向 网 络 对 象 管 
理 的 综合 目录 服务 ,网 络 对 象 包括 用 户 、 用 户 组 计算机、 打印 机 、 应 用 服务 器 、 域 .组 织 单元 
和 安全 策略 服务 。AD 是 各 种 网 络 对象 的 索引 集合 和 数据 存储 的 视图 ,把 分 散 的 网 络 对 象 
建立 索引 目录 ,存储 在 活动 目录 的 数据 库 内 。 

图 6-9 为 AD 的 管理 划分 模型 ,AD 把 整个 域 作为 一 个 完整 目录 进行 管理 , 域 模式 要 求 
用 户 进行 网 络 登录 ,用 户 只 要 在 域 中 有 一 个 账户 ,登录 成 功 可 以 在 整个 域 网 络 中 漫游 。 同 
时 ,AD 把 域 划分 为 若干 个 组 织 单元 (Organizational Unit,OU) ,OU 是 域 中 用 户 和 组 文件、 
打印 机 等 资源 对 象 以 及 其 他 OU 的 集合 。 可 见 ,OU 可 以 划分 下 级 OU, 下 级 OU 能 够 继承 
父 OU 的 访问 权限 。 每 一 个 OU 有 自己 的 管理 员 ,负责 OU 的 权限 管理 ,从 而 实现 AD 的 多 
层次 管理 。 


服务 器 OU 


台式 PC OU 4 


图 6-9 活动 目录 (AD) 的 管理 划分 模型 


AD 的 功能 包括 基于 目录 的 用 户 和 资源 管理 .基于 目录 的 网 络 服务 和 基于 网 络 的 应 用 
管理 。 基 于 目录 的 用 户 和 资源 管理 为 用 户 提供 网 络 对 象 的 统一 视图 ,基于 目录 的 网 络 服务 
主要 包括 DNS、WINS、DHCP .证 书 服务 等 ,基于 网 络 的 应 用 管理 包括 管理 企业 通讯 录 、 用 
户 组 管理 ,用户 身份 认证 .用 户 授权 管理 和 应 用 系统 支撑 等 。 

AD 是 Windows 网 络 中 重要 的 安全 管理 平台 .组 策略 (Group Policy,GP) 是 其 安全 性 
的 重要 体现 。GP 是 依据 特定 的 用 户 或 计算 机 的 安全 需求 定制 的 安全 配置 规则 。 如 图 6-10 
所 示 ,管理 员 针 对 每 个 组 织 单元 (OU) 定 制 不 同 的 GP, 并 将 这 些 GP 存储 在 AD 的 相关 数据 
库 内 ,可 以 强制 推送 到 客户 端 实施 GP。AD 可 以 使 用 GP 命令 来 通知 和 改变 已 经 登录 的 用 
户 的 GP, 并 执行 相关 安全 配置 。 
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图 6-10 组 策略 工作 流程 


注册 表 是 Windows 系统 中 保存 系统 应 用 软件 配置 的 数据 库 , 很 多 配置 都 是 可 以 自 定 义 
设置 的 ,但 这 些 配置 发 布 在 注册 表 的 各 个 角落 ,如 果 是 手工 配置 ,可 想 是 多 么 困难 和 烦琐 。 
GP 可 以 将 系统 中 重要 的 配置 功能 汇集 成 一 个 配置 集合 ,管理 人 员 通 过 配置 并 实施 GP, 达 
到 直接 管理 计算 机 的 目的 。 简 单 地 说 ,实施 GP 就 是 修改 注册 表 中 的 相关 配置 。GP 分 为 基 
于 活动 目录 的 和 基于 本 地 计算 机 的 两 种 : AD GP 存储 在 域 控制 器 上 AD 的 数据 库 中 , 它 的 
定制 实施 由 域 管理 员 来 执行 ; 本 地 GP 存放 在 本 地 计算 机 内 ,由 本 地 管理 员 来 定制 实施 。 
AD GP 实施 的 对 象 是 整个 组 织 单元 (OU); 本 地 GP 只 负责 本 地 计算 机 。GP 和 AD 配合 
GP 部 署 在 OU 、 站 点 或 域 的 范围 内 ,也 可 以 部 署 在 本 地 计算 机 上 。 部 署 在 本 地 计算 机 时 ， 
GP 不 能 发 挥 其 全 部 功能 ,只 有 和 AD 配合 ,GP 才 可 以 发 挥 出 全 部 潜力 。 


6.2.6 Windows 系统 安全 管理 


Windows 安全 服务 依托 安全 管理 功能 实现 ,包括 账户 安全 文件 安全 和 主机 安全 。 

1. Windows 系统 账户 安全 

Windows Server 2003 操作 系统 的 合法 账户 .才能 访问 网 络 上 的 资源 ,基于 Internet 的 
非法 入 侵 是 从 寻找 账户 的 漏洞 开始 的 。Windows 依靠 账户 来 管理 用 户 .控制 用 户 对 资源 的 
访问 ,每 一 个 需要 访问 网 络 的 用 户 都 要 有 一 个 账户 。Windows 用 户 分 为 域 用 户 账户 、 本 地 
用 户 账 户 和 内 置 用 户 账户 。 

(1) 域 用 户 账户 。 

域 用 户 账户 是 用 户 访问 域 的 唯一 凭证 ,该 账户 在 域 控制 器 上 建立 ,作为 活动 目录 的 一 个 
对 象 保存 在 域 的 数据 库 中 。 用 户 在 域 中 的 任何 一 台 计 算 机 登录 到 域 中 的 时 候 必须 提供 一 个 
合法 的 域 用 户 账 户 ,该 账户 将 被 域 控制 器 所 验证 。 

SAM 作为 保存 域 用 户 账户 的 数据 库 , 位 于 域 控 制 器 的 \% systemroot%\ NTDS\ 
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NTDS. DIT 文件 中 。 每 个 账户 都 被 Windows 签订 一 个 唯一 的 SID, 保 证 账户 在 域 中 的 唯 
一 性 ,SID 作为 账户 的 属性 不 能 被 修改 :账户 被 删除 SID 将 不 复 存 在 。Windows 系统 中 
SID 对 应 用 户 权 限 , 因 此 只 要 SID 不 同 , 新 建 账 户 不 会 继承 原 有 上 账户 的 权限 与 组 的 隶属 
关系 。 

(2) 本 地 用 户 账户 。 

Windows Server 2003 在 工作 组 模式 或 作为 域 中 的 成 员 服务 器 时 ,计算 机 操作 系统 中 
存在 的 是 本 地 用 户 和 本 地 组 。 本 地 用 户 账 户 的 作用 范围 仅 限于 在 创建 该 账户 的 计算 机 上 ， 
以 控制 用 户 对 该 计算 机 上 的 资源 的 访问 。 当 用 户 访问 在 工作 组 模式 下 的 计算 机 时 ,必须 具 
有 被 访问 计算 机 的 本 地 账户 ,本 地 账户 存储 在 %SystemRoot%\system32\config\Sam 数据 
库 中 ,这 些 账户 在 被 访问 计算 机 上 必须 是 唯一 的 。 本 地 用 户 账户 验证 由 创建 该 账户 的 计算 
机 进行 ,因此 这 种 类 型 账户 的 管理 是 分 散 的 ,并 且 也 有 一 个 唯一 的 SID 标志 ,记录 账户 的 权 
限 和 组 的 隶属 关系 。 

(3) 内 置 用 户 账 户 。 

Windows Server 2003 自 带 账户 ,系统 安装 好 后 这 些 账 户 已 经 存在 ,并 且 赋 了 予 相应 的 权 
限 以 完成 某 些 特定 的 工作 。Windows 内 置 用 户 账 户 包 括 Administrator 和 Guest, 内 管 账户 
不 允许 被 删除 ,Administrator 不 允许 被 屏蔽 ,但 内 管 账户 允许 被 更 名 。Administrator 账号 
被 赋予 在 域 中 和 在 计算 机 中 不 受 限制 的 权利 ,用 于 管理 本 地 计算 机 或 域 ,具体 地 说 ,创建 其 
他 用 户 账号 和 组 ,实施 安全 策略 ,管理 打印 机 和 分 配 用 户 对 资源 的 访问 权限 等 。Guest 是 在 
域 或 计算 机 中 的 用 户 临 时 访问 时 使 用 的 ,默认 情况 下 不 允许 对 域 或 计算 机 中 的 设置 和 资源 
做 永久 性 的 更 改 。 

在 规划 Windows Server 2003 域 时 ,注意 考虑 账户 的 命名 约定 和 账户 的 密码 约定 。 账 
号 命名 约定 包括 : 域 用 户 账号 的 用 户 登 录 名 在 AD 中 必须 唯一 ; 域 用 户 账号 的 完全 名 称 在 
创建 该 用 户 账号 的 域 中 必须 唯一 ; 本 地 用 户 账 号 在 创建 该 账号 的 计算 机 上 必须 唯一 ; 如 果 
用 户 名 称 有 重复 , 则 应 该 在 账号 上 区 别 出 来 ; 对 于 临时 雇员 应 该 做 出 特殊 的 命名 ,以 便 标示 
出 来 。 账 户 、 密 码 约定 包括 : 尽量 避免 带 有 明显 意义 的 字符 或 数字 的 组 合 , 最 好 采用 大 小 写 
和 数字 的 无 意义 混合 ; 对 于 不 同 级 别 的 安全 要 求 ,确定 用 户 的 账号 、 密 码 是 由 管理 员 控 制 还 
是 由 账号 的 拥有 者 控制 ; 定期 更 改 密码 .尽量 使 用 不 同 的 密码 ; 有 关 密 码 的 策略 可 以 由 系 
统管 理 员 在 密码 策略 管理 工具 中 加 以 规定 ,以 保护 系统 的 安全 性 。 

2. Windows 系统 文件 安全 

Windows Server 2003 使 用 NTFS 文件 系统 格式 ,该 结构 提供 数据 文件 访问 控制 机 制 。 
NTFS 权限 是 基于 NTFS 分 区 实现 ,支持 用 户 对 文件 的 访问 权限 ,支持 对 文件 和 文件 夹 的 
加 密 ,NTFS 权限 可 以 实现 高 度 的 本 地 安全 性 。 

(1) 通过 对 用 户 赋予 NTFS 权限 可 以 有 效 地 控制 用 户 对 文件 和 文件 夹 的 访问 。 

在 NTFS 分 区 上 的 每 一 个 文件 和 文件 夹 都 有 一 个 ACL 列表 ,该 表 记 录 每 一 个 用 户 和 
组 对 该 资源 的 访问 权限 。 在 默认 情况 下 :NTFS 权限 具有 继承 性 , 即 文件 和 文件 夹 继 承 来 自 
上 层 文 件 夹 的 权限 。NTFS 权限 分 为 特殊 NTFS 权限 和 标准 NTFS 权限 两 类 ,标准 NTFS 
权限 是 特殊 NTFS 权限 的 特定 组 合 ,特殊 NTFS 权限 规定 了 用 户 访 问 资源 的 所 有 行为 。 

Windows 将 一 些 常用 的 特殊 NTFS 权限 组 合 为 标准 NTFS 权限 , 当 需 要 分 配 权 限时 将 
一 个 标准 NTFS 权限 分 解 为 多 个 特殊 NTFS 权限 ,简化 权限 的 分 配 和 管理 。 
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(2) NTFS 权限 的 使 用 原则 。 

一 个 用 户 可 能 属于 多 个 组 ,组 对 某 种 资源 被 赋予 了 不 同 的 权限 ,根据 NTFS 权限 法 则 
判断 用 户 对 资源 有 何 种 访问 权限 。 权 限 最 大 原则 : 当 一 个 用 户 同 时 属于 多 个 组 ,而 这 些 组 
又 有 可 能 被 对 某 种 资源 赋予 了 不 同 的 访问 权限 , 则 用 户 对 该 资源 最 终 有 效 权限 是 在 这 些 组 
中 最 宽松 的 权限 , 即 加 权限 ,将 所 有 的 权限 加 在 一 起 即 为 该 用 户 的 权限 。 

文件 权限 超越 文件 夹 权 限 原 则 , 当 用 户 或 组 对 某 个 文件 夹 以 及 该 文件 夹 下 的 文件 有 不 
同 的 访问 权限 时 ,用 户 对 文件 的 最 终 权限 是 用 户 被 赋予 访问 该 文件 的 权限 , 即 文件 权限 超越 
文件 的 上 级 文件 夹 的 权限 ,用 户 访 问 该 文件 夹 下 的 文件 不 受 文件 夹 权限 的 限制 ,而 只 受 被 赋 
予 的 文件 权限 的 限制 。 

拒绝 权限 超越 其 他 权限 原则 , 当 用 户 对 某 个 资源 有 拒绝 权限 时 ,该 权限 覆盖 其 他 任何 权 
限 , 即 在 访问 该 资源 的 时 候 只 有 拒绝 权限 是 有 效 的 。 当 有 拒绝 权限 时 权限 最 大 法 则 无 效 。 
因此 对 于 拒绝 权限 的 授予 应 该 慎重 考虑 。 

(3) NTFS 权限 的 继承 。 

在 同一 个 NTFS 分 区 内 或 不 同 的 NTFS 分 区 之 间 移 动 或 复制 一 个 文件 或 文件 夹 时 ,该 
文件 或 文件 夹 的 NTFS 权限 会 发 生 不 同 的 变化 。 在 同一 分 区 内 移动 的 实质 就 是 在 目的 位 
置 将 原 位 置 上 的 文件 或 文件 夹 搬 过 来 ,因此 文件 和 文件 夹 仍然 保留 有 在 原 位 置 的 一 切 
NTFS 权限 。 

在 不 同 NTFS 分 区 之 间 移 动 文件 或 文件 夹 ,文件 和 文件 夹 会 继承 目的 分 区 中 文件 夹 的 
权限 ,实质 就 是 在 原 位 置 删 除 该 文件 或 文件 夹 ,并 且 在 目的 位 置 新 建 该 文件 或 文件 夹 。 

在 同一 个 NTFS 分 区 内 复制 文件 或 文件 夹 ,文件 和 文件 夹 将 继承 目的 位 置 中 的 文件 夹 
的 权限 。 在 不 同 NTFS 分 区 之 间 复 制 文件 或 文件 夹 ,文件 和 文件 夹 将 继承 目的 位 置 中 文件 
夹 的 权限 。 

(4) 共享 文件 夹 权限 管理 。 

共享 文件 夹 是 被 用 来 向 网 络 用 户 提 供 对 文件 资源 的 访问 ,可 以 包括 应 用 程序 、 公 用 数据 
或 用 户 个 人 数据 。 共 享 文件 夹 的 读 权 限 : 用 户 可 以 显示 文件 夹 名称 、 文 件 名 、 文 件 属性 , 运 
行程 序 文件 ,对 共享 文件 夹 内 的 文件 夹 作出 改动 。 修 改 权 限 : 用 户 可 以 创建 文件 夹 、 向 文件 
夹 中 添加 文件 ,改变 文件 中 的 数据 、 向 文件 中 添加 数据 、 改 变 文 件 属性 、 删 除 文件 夹 和 文件 。 
完全 控制 权限 : 用 户 可 以 改变 文件 权限 、 获 取 文 件 的 所 有 权 并 执行 修改 权限 允许 的 所 有 
任务 。 

(5) 文件 的 加 密 与 解密 。 

在 Windows Server 2003 的 NTFS 文件 系统 中 内 置 了 EFS 加 密 系统 ,利用 EFS 加 密 系 
统 可 以 对 保存 在 硬盘 上 的 文件 进行 加 密 , 其 加 密 和 解密 过 程 对 应 用 程序 和 用 户 而 言 是 完全 
透明 的 。 文 件 或 文件 夹 被 加 密 后 ,未 经 许可 对 加 密 文件 或 文件 夹 进行 物理 访问 的 入 侵 者 都 
无 法 阅读 这 些 文件 或 文件 夹 中 的 内 容 。 通 常 将 要 加 密 的 文件 置 于 一 个 文件 夹 中 ,再 对 该 文 
件 夹 加 密 , 可 以 一 次 加 密 大 量 的 文件 。 在 该 文件 夹 下 创建 的 所 有 文件 和 子 文件 夹 都 会 被 
加 密 。 

3. Windows 系统 主机 安全 

Windows Server 2003 主机 安全 是 针对 单个 主机 设置 的 安全 规则 ,保护 计算 机 上 的 重 
要 数据 。 系 统 安全 策略 定义 了 用 户 在 使 用 计算 机 ,运行 应 用 程序 和 访问 网 络 等 方面 的 行为 ， 
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通过 这 些 约束 避免 了 各 种 对 网 络 安全 的 有 意 或 无 意 的 伤害 。 安 全 策略 是 一 个 事先 定义 好 的 
一 系列 应 用 于 计算 机 的 行为 准则 ,应 用 这 些 安全 策略 将 使 用 户 有 一 致 的 工作 方式 ,防止 用 户 
破坏 计算 机 上 的 各 种 重要 配置 ,保护 网 络 上 的 敏感 数据 。 在 Windows Server 2003 中 安全 
策略 是 以 本 地 安全 设置 和 组 策略 两 种 形式 出 现 的 。 本 地 安全 设置 是 基于 单个 计算 机 的 安全 
性 而 设置 的 。 对 于 较 小 的 组 织 ,或 者 在 网 络 中 没有 应 用 活动 目录 的 网 络 ,适用 于 本 地 安全 设 
置 。 而 组 策略 可 以 在 站 点 ` 组 织 单元 或 域 的 范围 内 实现 ,通常 在 较 大 规模 并 且 实施 活动 目录 
的 网 络 中 应 用 组 策略 。 

(1) 实施 本 地 安全 设置 。 

本 地 安全 设置 只 能 在 不 属于 某 个 域 的 计算 机 上 实现 ,其 中 可 设 定 的 值 较 少 ,对 用 户 
的 约 东 也 较 少 。 如 果 要 在 整个 网 络 中 约 东 用 户 使 用 计算 机 的 行为 , 则 必须 在 每 一 个 计算 
机 上 实施 本 地 安全 设置 。 本 地 安全 设置 包括 账户 策略 、 本 地 策略 、 公 钥 策略 和 IP 安全 
策略 。 

(2) 配置 并 实施 组 策略 。 

在 Windows Server 2003 活动 目录 中 ,组 策略 主要 作用 是 规定 用 户 和 计算 机 的 使 用 环 
境 , 还 应 用 于 成 员 服 务 器 、 域 控制 器 以 及 管理 范围 内 的 其 他 计算 机 。 组 策略 设置 定义 了 
系统 管理 员 需 要 管理 的 用 户 桌 面 环境 的 各 种 组 件 。 要 为 特定 用 户 组 创建 特殊 的 桌面 配 
置 , 可 使 用 组 策略 对 象 编辑 器 创建 组 策略 对 象 , 组 策略 对 象 又 与 选 定 的 活动 目录 对 象 相 
关联 。 

组 策略 包括 两 部 分 : 用 户 配 置 策略 ,是 指定 对 应 于 某 个 用 户 账户 的 策略 ,这 样 不 论 该 账 
户 在 域内 哪个 计算 机 上 登录 ,其 工作 环境 都 是 一 样 的 ; 计算 机 配置 策略 ,是 指定 对 应 于 某 台 
计算 机 的 策略 ,这 样 不 论 哪个 账户 在 该 计算 机 上 登录 ,其 工作 环境 都 是 一 样 的 。 

(3) 使 用 预定 义 安全 性 模板 。 

Windows Server 2003 包含 多 个 安全 性 模板 适用 于 不 同安 全 需求 .利用 这 些 模 板 网 络 
管理 人 员 可 以 简化 策略 的 设 定 和 实施 操作 。 预 定义 的 安全 模板 包括 4 种 安全 级 别 。 基 本 级 
别 的 模板 为 Windows 定义 的 默认 的 安全 级 别 .包括 以 下 设 定 : 默认 的 工作 站 、 默 认 的 服务 
器 、 默 认 的 域 控 制 器 ,可 以 在 \systemrootNsecurity\templates 文件 夹 中 找到 这 几 个 模板 。 兼 
容 标 准 的 模板 包括 商用 应 用 程序 的 所 有 功能 ,使 之 仍然 可 以 有 效 地 运行 ,该 模板 为 兼容 工作 
站 或 服务 器 模板 。 安 全 模板 有 可 能 会 影响 到 一 些 商用 应 用 程序 的 某 些 功能 的 运行 ,主要 包 
括 安全 的 工作 站 或 服务 器 、 安 全 的 域 控制 器 。 高 度 安全 模板 .不 会 考虑 应 用 程序 是 否 会 受到 
这 些 设 定 的 影响 ,在 通常 情况 下 这 类 模板 要 慎重 使 用 ,主要 包括 高 安全 的 工作 站 或 服务 器 、 


6.3 数据 库 安 全 


现 有 计算 机 信息 系统 多 采用 数据 库存 储 和 管理 大 量 的 关键 数据 ,因此 数据 库 的 安全 问 
题 也 是 系统 安全 的 一 个 关键 环节 ,了 解 针 对 数据 的 攻击 技术 ,并 采取 相应 的 数据 库 安 全 防范 
措施 ,也 是 系统 安全 技术 人 员 所 需要 关注 的 重点 。 


Ey 
了 向 
由 
a 
泌 
EE 


186 


6.3.1 数据 库 安 全 技术 


1. 数据 库 的 完整 性 

数据 库 的 完整 性 包括 : 

(1) 实体 完整 性 , 指 表 和 它 模仿 的 实体 一 致 。 

(2) 域 完整 性 , 指 某 一 数据 项 的 值 是 合理 的 。 

(3) 参照 完整 性 , 指 在 一 个 数据 库 的 多 个 表 中 保持 一 致 性 。 

(4) 用 户 定 义 完 整 性 ,由 用 户 自 定义 。 

(5) 分 布 式 完整 性 。 

数据 库 的 完整 性 可 通过 数据 库 完 整 性 约束 机 制 来 实现 。 这 种 约束 是 一 系列 预先 定义 好 
的 数据 完整 性 规划 和 业务 规则 ,这 些 数据 规则 存放 于 数据 库 中 ,防止 用 户 输入 错误 的 数据 ， 
以 保证 所 有 数据 库 中 的 数据 是 合法 的 、 完 整 的 。 

数据 库 完 整 性 约束 包括 非 空 约束 、 默 认 值 约束 ,唯一 性 约束 、 主 键 约束 、 外 部 键 约束 和 规 
则 约束 。 这 种 约束 是 加 在 数据 库 表 的 定义 上 的 , 它 与 应 用 程序 中 维护 数据 库 完 整 性 不 同 , 它 
不 用 额外 地 编写 程序 ,代价 小 而 且 性 能 高 。 在 多 网 络 用 户 的 客户 机 /服务 器 体系 下 ,需要 对 
多 表 进 行 插入 、 删 除 、 更 新 等 操作 时 ,使 用 存储 过 程 可 以 有 效 防止 多 客户 同时 操作 数据 库 时 
带 来 的 死 锁 和 破坏 数据 完整 一 致 性 问题 。 此 外 ,通过 封锁 机 制 可 以 避免 多 个 事务 并 发 执行 
存 取 同一 数据 时 出 现 的 数据 不 一 致 问题 。 

2. 存 取 控制 机 制 

访问 控制 是 数据 库 系统 的 基本 安全 需求 之 一 ,为 了 使 用 访问 控制 来 保证 数据 库 的 安全 ， 
必须 使 用 相应 的 安全 策略 和 安全 机 制 保证 其 实施 。 数 据 库 常用 的 存 取 控制 机 制 是 基于 角色 
的 存 取 控制 模型 。 

基于 角色 的 存 取 控制 模型 的 特征 是 根据 安全 策略 划分 出 不 同 的 角色 ,对 每 个 角色 分 配 
不 同 的 操作 许可 ,同时 为 用 户 指派 不 同 的 角色 ,用 户 通过 角色 间接 地 对 数据 进行 存 取 。 角 色 
由 数据 库 管理 员 管理 分 配 ,. 用 户 和 客体 无 直接 关系 ,他 只 有 通过 角色 才 可 以 拥有 角色 所 拥有 
的 权限 ,从 而 存 取 客 体 。 用 户 不 能 自主 地 将 存 取 权 限 授 予 其 他 用 户 。 基 于 角色 的 存 取 控制 
机 制 可 以 为 用 户 提供 强大 而 灵活 的 安全 机 制 , 可 以 让 管理 员 在 接近 部 门 组 织 的 自然 形式 来 
进行 用 户 权限 划分 。 

3. 视图 机 制 

通过 限制 可 由 用 户 使 用 的 数据 ,可 以 将 视图 作为 安全 机 制 。 用 户 可 以 访问 某 些 数 
据 ,进行 查询 和 修改 ,但 是 表 或 数据 库 的 其 余部 分 是 不 可 见 的 ,也 不 能 进行 访问 。 无 论 在 
基础 表 (1 个 或 多 个 ) 上 的 权限 集合 有 多 大 ,都 必须 授予 .拒绝 或 废除 访问 视图 中 数据 子 集 
的 权限 。 

例如 , 某 个 表 的 salary 列 中 含有 保密 职员 信息 ,但 其 余 列 中 含有 的 信息 可 以 让 所 有 用 户 
使 用 。 可 以 定义 一 个 视图 . 它 包 含 表 中 除 敏感 的 salary 列 以 外 所 有 的 列 。 只 要 表 和 视图 的 
所 有 者 相同 ,授予 视图 上 的 SELECT 权限 就 使 用 户 得 以 查看 视图 中 非 保密 列 而 无 须 对 表 本 
身 具有 任何 权限 。 通 过 定义 不 同 的 视图 及 有 选择 地 授予 视图 上 的 权限 可 以 将 用 户 、 组 或 角 
色 限 制 在 不 同 的 数据 子 集 内 。 
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4. 数据 库 加 密 

一 般 而 言 ,数据 库 系 统 提供 的 基本 安全 技术 能 够 满足 普通 的 数据 库 应 用 ,但 对 于 一 些 重 
要 部 门 或 敏感 领域 的 应 用 , 仅 靠 上 述 这 些 措 施 难 以 保证 数据 的 安全 性 , 某 些 用 户 仍 可 能 非法 
获取 用 户 名 和 口令 越权 使 用 数据 库 , 甚 至 直接 打开 数据 库 文件 窍 取 或 自 改 信息 。 因 此 ,有 必 
要 对 数据 库 中 存储 的 重要 数据 进行 加 密 处 理 , 以 实现 数据 存储 的 安全 保护 。 

较 之 传统 的 数据 加 密 技 术 , 数 据 库 加 密 系 统 有 其 自身 的 要 求 和 特点 。 数 据 库 数据 的 使 
用 方法 决定 了 它 不 可 能 以 整个 数据 库 文件 为 单位 进行 加 密 。 当 符合 检索 条 件 的 记录 被 检索 
出 来 后 ,就 必须 对 该 记录 迅速 解密 ,然而 该 记录 是 数据 库 文件 中 堆积 的 一 段 , 无 法 从 中 间 开 
始 解密 。 因 此 ,必须 解决 随机 地 从 数据 库 文件 中 某 一 段 数据 开始 解密 的 问题 , 故 数据 库 加 密 
只 能 对 数据 库 中 的 数据 进行 部 分 加 密 。 


6.3.2 数据 库 攻击 技术 


针对 数据 库 的 攻击 有 多 种 形式 ,攻击 的 最 终 目标 是 控制 数据 库 服务 器 或 者 得 到 对 数据 
库 的 访问 权限 。 主 要 的 数据 库 攻击 手段 包括 : 

1， 能 口令 攻击 

获取 目标 数据 库 服务 器 的 管理 员 口 令 有 多 种 方法 和 工具 ,例如 针对 SQL 服务 器 的 
SQLScan 字典 口令 攻击 、SQLDict 字典 口令 攻击 .SQLServerSniffer 嗅 探 口 令 攻 击 等 工具 。 
获取 了 SQL 数据 库 服 务 器 的 口令 后 , 即 可 利用 SQL 远程 连接 并 进入 SQL 数据 库 内 获得 敏 
感 信 息 。 

2. SQL 注入 攻击 

SQL 注入 攻击 的 具体 过 程 : 首先 是 由 攻击 者 通过 向 Web 服务 器 提交 特殊 参数 ,向 后 台 
数据 库 注入 精心 构造 的 SQL 语句 ,达到 获取 数据 库 里 的 表 的 内 容 或 者 挂 网 页 木马 ,进一步 
利用 网 页 木马 再 挂 上 木马 。 攻 击 者 通过 提交 特殊 参数 和 精心 构造 的 SQL 语句 后 ,根据 返回 
的 页 面 判 断 执行 结果 、 获 取 敏感 信息 。 因 为 SQL 注入 是 从 正常 的 WWW 端口 访问 ,而 且 表 
面 看 起 来 与 一 般 的 Web 页 面 访问 没有 区 别 . 所 以 目前 通用 的 防火 墙 都 不 会 对 SQL 注入 发 
出 警报 ,如 果 管 理 员 没 查看 IIS 日 志 的 习惯 ,可 能 被 人 侵 很 长 时 间 也 不 被 察觉 。 

SQL 注入 的 手法 相当 灵活 ,在 注入 时 会 遇 到 意外 情况 。 在 实际 攻击 过 程 中 ,攻击 者 根 
据 具 体 情况 进行 分 析 , 构 造 巧妙 的 SQL 语句 ,从 而 达到 渗透 的 目的 ,而 渗透 的 程度 和 网 站 的 
Web 应 用 程序 的 安全 性 和 安全 配置 有 很 大 关系 。 

3. 利用 数据 库 漏洞 进行 攻击 

利用 数据 库 本 身 的 漏洞 实施 攻击 ,获取 对 数据 库 的 控制 权 和 对 数据 的 访问 权 , 或 者 
利用 漏洞 实施 权限 的 提升 。 不 同 版 本 数据 库 的 漏洞 不 一 样 。 例 如 ,Oracle 9. 2.0. 1.0 存 
在 认证 过 程 的 缓冲 区 溢出 漏洞 .攻击 者 通过 提供 一 个 非常 长 的 用 户 名 ,会 使 认证 出 现 溢 
出 ,允许 攻击 者 获得 对 数据 库 的 控制 ,这 使 得 没有 正确 的 用 户 名 和 密码 也 可 获得 对 数据 
库 的 控制 。 利 用 Oracle 的 left outer joins 漏洞 可 以 实现 权限 的 提升 。 当 攻击 者 利用 left 
outer joins 实现 查询 功能 时 ,数据 库 不 做 权限 检查 .使 攻击 者 获得 他 们 一 般 不 能 访问 的 表 
的 权限 。 


斌 
了 向 
类 
除 
洲 
EE 


188 


6.3.3 数据 库 的 安全 防范 


为 了 有 效 防止 针对 数据 库 的 攻击 ,要 从 前 台 的 Web 页 面 和 后 台 的 数据 库 服务 器 设置 等 
多 个 层次 进行 统一 考虑 。 

1. 编写 安全 的 Web 页 面 

SQL 注入 漏洞 是 因为 Web 程序 员 所 编写 的 Web 应 用 程序 没有 严格 地 过 滤 从 客户 端 提 
交 至 服务 器 的 参数 而 引起 的 。 所 以 ,要 防范 SQL 注入 攻击 ,首先 要 从 编写 安全 的 Web 应 用 
程序 开始 做 起 。 

对 于 客户 端 提交 过 来 的 参数 ,都 要 进行 严格 的 过 滤 ,检查 当中 是 否 存在 着 特殊 字符 ,要 
注意 的 特殊 字符 有 : 单 引 号 ; 双 引 号 ; 当前 使 用 的 数据 库 服 务 器 所 支持 的 注释 符号 ,例如 ， 
SQL Server 所 使 用 的 注释 号 是 “--”,MySQL 所 使 用 的 注释 号 是 “/* ”等 。 除 此 之 外 ,还 有 
SQL 语句 中 所 使 用 的 关键 字 ,这 些 关 键 字 包括 select、insert、update、and、where 等 。 除 了 严 
格 检验 参数 ,还 要 注意 不 向 客户 端 返回 程序 发 生 异 常 的 错误 信息 ,这 是 因为 SQL 注入 很 大 
程度 上 是 依赖 程序 的 异常 信息 获取 服务 器 的 信息 的 ,所 以 不 能 为 攻击 者 留 下 任何 线索 。 

2. 设置 安全 的 数据 库 服务 器 

(1) SQL Server。 

SQL Server 的 安全 性 设置 要 通过 安装 .设置 和 维护 三 个 阶段 进行 综合 考虑 。 在 安装 阶 
段 ,将 数据 库 默 认 自 动 或 者 手动 安装 使 用 Windows 认证 ,这 将 把 暴力 攻击 SQL Server 本 地 
认证 机 制 的 攻击 者 拒 之 门 外 。 为 数据 库 分 配 一 个 强壮 的 SA 账户 密码 ,也 是 安装 过 程 中 需 
要 考虑 的 一 个 重要 事情 。 

在 设置 阶段 ,使 用 服务 器 网 络 程序 (Server Network Utility) 可 禁用 所 有 的 netlib, 这 将 
使 对 数据 库 的 远程 访问 无 效 .同时 也 将 使 SQL Server 不 再 响应 SQLPing 等 对 数据 库 的 扫 
描 和 探测 行为 。 激 活 数据 库 的 日 志 功 能 可 以 在 攻击 者 进行 暴力 破解 时 能 够 有 效 鉴别 。 此 
外 ,禁止 SQL Server Enterprise Manager 自动 为 服务 账号 分 配 权 限 .禁用 Ad Hoc 查询 , 设 
置 操作 系统 访问 控制 列表 ,清除 危险 的 扩展 存储 过 程 等 措施 将 阻止 一 些 攻 击 者 对 数据 库 的 
非法 操作 。 

在 维护 阶段 ,采取 及 时 更 新 服务 包 和 漏洞 补丁 ,分 析 蜡 常 的 网 络 通信 数据 包 , 创 建 SQL 
Server 警报 等 方法 ,可 以 为 管理 员 提 供 针对 数据 库 的 更 加 有 效 的 防范 措施 。 

(2) Oracle。 

Oracle Oracle 数据 库 的 安全 性 防范 措施 也 需要 综合 考虑 多 方面 的 因素 ,包括 可 设置 监 
听 器 密码 ,运行 监听 器 控制 程序 连接 相关 的 监听 器 时 ,可 通过 密码 保护 监听 器 的 安全 ; 删除 
PL/SQL 外 部 存储 功能 , 堵 住 攻击 者 对 其 的 非法 使 用 ; 确保 所 有 数据 库 用 户 的 默认 密码 已 
经 更 改 为 安全 的 新 密码 ; 为 保证 数据 库 实例 的 安全 ,及 时 更 新 最 新 补丁 也 是 非常 重要 的 一 
项 安全 措施 。 当 然 ,如 果 Oracle 数据 库 的 前 端 是 一 个 Web 服务 器 , 则 Web 前 端 将 是 外 部 攻 
击 者 的 第 一 站 ,Oracle 的 安全 也 离 不 开 Web 前 端的 安全 。 

(3) MySQL 。 

MySQL 数据 库 的 安全 性 防范 措施 主要 包括 消除 授权 表 的 通配符 、 使 用 安全 密码 、 检 查 
配置 文件 的 许可 、 对 客户 端 服务 器 传输 进行 加 密 、 禁 用 远程 访问 功能 和 积极 监控 MySQL 的 
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访问 日 志 。 

MySQL 访问 控制 系统 是 通过 一 系列 授权 表 进 行 , 授 权 表 在 数据 库 、 表 和 列 定义 每 一 位 
用 户 的 访问 级 别 , 同 时 定义 某 用 户 普 适 许可 或 使 用 通配符 的 权限 ,确保 用 户 获 得 的 访问 权限 
恰好 足够 他 们 完成 任务 即 可 。 为 MySQL 根 账户 设置 一 个 密码 ,并 且 每 一 个 用 户 账户 都 设 
置 自己 的 密码 ,确保 没有 使 用 具有 启发 式 信息 的 容易 被 识破 的 密码 ,例如 生日 .用 户 姓名 字 
母 等 。 用户 账 号 、 密 码 以 纯 文本 形式 存储 在 MySQL 的 per-user 文件 中 ,很 容易 就 会 被 读 
取 ; 因此 把 这 些 文件 存储 在 非 公 共 区 域 ,或 者 ,存储 在 用 户 账户 的 私人 主 目录 下 ,权限 设置 
为 0600( 只 能 被 根 用 户 读 写 )。 

客户 端 服务 器 事务 是 以 明文 信息 方式 传输 ,黑客 容易 发 现 这 些 数 据 包 并 从 中 获取 敏感 
信息 ; 因此 ,需要 激活 MySQL 设置 中 的 SSL 或 OpenSSH 的 安全 外 壳 实 用 程序 ,为 传输 数 
据 创造 一 个 安全 加 密 通 道 ,未 经 授权 用 户 就 很 难 读 取 传 输 数据 。 如 果 用 户 不 需要 远程 访问 
服务 器 ,那么 强制 所 有 MySQL 连接 都 通过 socket 文件 通信 ,大 大 降低 受到 网 络 攻击 的 风 
险 ; 设置 服务 器 使 用 了 一 skip-networking 选项 启动 ,可 以 屏蔽 MySQL 的 TCP/IP 网 络 连 
接 , 确 保 没 有 用 户 能 够 远程 连接 到 系统 。MySQL 日 志文 件 记 录 客 户 端 连接 、 查 询 和 服务 器 
错误 ,通用 查询 日 志 (General Query Log) 以 时 间 戳 记录 了 每 一 个 客户 端 连接 和 断 开 连接 ， 
以 及 客户 端 执行 每 一 次 查询 的 情况 ; 监控 MySQL 日 志 ,发 现 网 络 人 侵 攻击 的 源头 。 


6.4 软件 系统 安全 


在 众多 应 用 系统 中 ,往往 运行 了 多 种 软件 系统 实现 其 对 外 服务 的 功能 。 软 件 的 安全 性 
也 是 影响 系统 安全 的 一 个 重要 方面 。 


6.4.1 开发 安全 的 程序 


大 部 分 的 溢出 攻击 是 由 于 不 良 的 编程 习惯 造成 的 。 现 在 常用 的 C 和 C++ 语言 因为 宽 
松 的 程序 语法 限制 而 被 广泛 使 用 ,它们 在 营造 了 一 个 灵活 高 效 的 编程 环境 的 同时 ,也 在 代码 
中 潜伏 了 很 大 的 风险 隐患 。 为 避免 溢出 漏洞 的 出 现 , 在 编写 程序 的 同时 就 需要 将 安全 因素 
考虑 在 内 ,软件 开发 过 程 中 可 利用 多 种 防范 策略 ,如 编写 正确 的 代码 ,改进 C 语言 函数 库 ， 
数组 边界 检查 ,使 堆栈 向 高 地 址 方向 增长 ,程序 指针 完整 性 检查 等 ,以 及 利用 保护 软件 的 保 
护 策略 ,如 StackGuard 对 付 恶意 代码 等 ,来 保证 程序 的 安全 性 。 目 前 有 几 种 基本 的 方法 保 
护 缓 冲 区 免 受 溢出 的 攻击 和 影响 : 

(1) 规范 代码 写法 ,加 强 程序 验证 。 

(2) 通过 操作 系统 使 得 缓冲 区 不 可 执行 ,从 而 阻止 攻击 者 植 和 人 攻击 代码 。 

(3) 利用 编译 器 的 边界 检查 来 实现 缓冲 区 的 保护 。 

(4) 在 程序 指针 失效 前 进行 完整 性 检查 。 


6.4.2 IIS 应 用 软件 系统 的 安全 性 


IIS 4.0 和 IIS 5.0 版 本 曾经 出 现 过 严重 的 缓冲 区 溢出 漏洞 ,在 上 面 介绍 了 软件 系统 攻 
击 技 术 和 防范 技术 后 ,从 IIS 的 安全 性 入 手 , 简 要 介绍 应 用 软件 的 安全 性 防范 措施 。IIS 是 
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Windows 系统 中 的 Internet 信息 和 应 用 程序 服务 器 ,利用 IIS 可 以 方便 地 配置 Windows 平 
台 , 并 且 IIS 和 Windows 系统 管理 功能 完美 地 融合 在 一 起 ,使 系统 管理 人 员 获 得 和 
Windows 完全 一 致 的 管理 。 

为 有 效 防范 针对 IIS 的 溢出 漏洞 攻击 ,首先 需要 对 IIS 了 解 其 缓冲 区 溢出 漏洞 所 在 之 
处 ,然后 进行 修补 。IIS 4.0 和 IIS 5.0 的 应 用 非常 广 , 但 由 于 这 两 个 版 本 的 IIS 存在 很 多 安 
全 漏洞 , 它 的 使 用 也 带 来 了 很 多 安全 隐患 。 

IIS 常见 漏洞 包括 idc & ida 漏洞 “. htr” 漏 洞 、`NT Site Server Adsamples 漏洞 、. 
printer 漏洞 .Unicode 解析 错误 漏洞 ` Webdav 漏洞 等 。 因 此 ,了 解 如 何 加 强 Web 服务 器 的 
安全 性 ,防范 由 IIS 漏洞 造成 的 入 侵 就 显得 尤为 重要 。 

例如 ,默认 安装 时 ,IIS 支持 两 种 脚本 映射 : 管理 脚本 (. ida 文件 )、Internet 数据 查询 脚 
本 (.idq 文件 )。 这 两 种 脚本 都 由 idq. dll 来 处 理 和 解释 。 而 idq. dll 在 处 理 某 些 URL 请 求 
时 存在 一 个 未 经 检查 的 缓冲 区 ,如 果 攻 击 者 提供 一 个 特殊 格式 的 URL, 就 可 能 引发 一 个 组 
冲 区 溢出 。 通 过 精心 构造 发 送 的 数据 ,攻击 者 可 以 改变 程序 执行 流程 ,从 而 执行 任意 代码 。 
当成 功 地 利用 这 个 漏洞 入 侵 系统 后 ,攻击 者 就 可 以 在 远程 获取 Local System 的 权限 了 。 

在 “Internet 服务 管理 器 "中, 右 击 网 站 目录 ,选择 “属性 ”命令 ,在 网 站 目录 属性 对 话 框 
的 “ 主 目录 ”界面 中 , 单 击 “配置 ”按钮 。 在 弹出 的 “应 用 程序 配置 ”对 话 框 的 “应 用 程序 映射 ” 
界面 ,删除 无 用 的 程序 映射 。 在 大 多 数 情 况 下 ,只 需要 留 下 . asp 一 项 即 可 ,将 .ida、. idq、. htr 
等 全 部 删除 ,以 避免 利用 .ida、. idq 等 这 些 程序 映射 存在 的 漏洞 对 系统 进行 攻击 。 


6.4.3 软件 系统 攻击 技术 


常见 的 利用 软件 缺陷 对 应 用 软件 系统 发 起 攻击 的 技术 包括 缓冲 区 溢出 攻击 、 堆 溢出 攻 
击 \ 栈 溢出 攻击 、 格 式 化 串 漏洞 利用 等 ,在 上 述 漏 洞 利用 成 功 后 ,往往 借助 于 shellcode 跳 转 
或 者 执行 攻击 者 的 恶意 程序 。 

1. 缓冲 区 溢出 利用 

如 果 应 用 软件 存在 缓冲 区 溢出 漏洞 ,可 利用 此 漏洞 实施 对 软件 系统 的 攻击 。 缓 冲 区 是 
内 存 中 存放 数据 的 地 方 。 在 程序 试图 将 数据 放 到 机 器 内 存 中 的 某 一 个 位 置 的 时 候 , 如 果 没 
有 足够 的 空间 就 会 发 生 缓 冲 区 溢出。 攻击 者 写 一 个 超过 缓冲 区 长 度 的 字符 串 ,程序 读 取 该 
段 字符 串 , 并 将 其 植 入 到 缓冲 区 ,由 于 该 字符 串 长 度 超出 常规 的 长 度 , 这 时 可 能 会 出 现 两 个 
结果 : 一 个 结果 是 过 长 的 字符 串 覆 盖 了 相 邻 的 存储 单元 ,导致 程序 出 错 , 严 重 的 可 导致 系统 
崩溃 ; 另 一 个 结果 就 是 利用 这 种 漏洞 可 以 执行 任意 指令 ,从 而 达到 攻击 者 的 某 种 目的 。 程 
序 运行 的 时 候 , 将 数据 类 型 等 保存 在 内 存 的 缓冲 区 中 。 为 了 不 占用 太 多 的 内 存 , 一 个 由 动态 
分 配 变量 的 程序 在 程序 运行 时 才 决 定 给 它们 分 配 多 少 内 存 空 间 。 如 果 在 动态 分 配 缓冲 区 中 
放 入 超 长 的 数据 ,就 会 发 生 溢出 。 这 时 候 程序 就 会 因为 异常 而 返回 ,如 果 攻 击 者 用 自己 攻击 
代码 的 地 址 覆盖 返回 地 址 ,这 个 时 候 , 通 过 eip 改变 返回 地 址 ,可 以 让 程序 转向 攻击 者 的 程 
序 段 , 如 果 在 攻击 者 编写 的 shellcode 里 面 集成 了 文件 的 上 传 、 下 载 等 功能 ,获取 到 root 权 
限 ,那么 就 相当 于 完全 控制 了 被 攻击 方 。 也 就 达到 了 攻击 者 的 目的 。 

2. 栈 溢出 利用 

程序 每 调用 一 个 函数 ,就 会 在 堆栈 里 申请 一 定 的 空间 ,我 们 把 这 个 空间 称 为 函数 栈 ,而 
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随 着 函数 调用 层 数 的 增加 ,函数 栈 一 块 块 地 从 高 端 内 存 向 低 端 内 存 地 址 方向 延伸 。 反 之 , 随 
着 进程 中 函数 调用 层 数 的 减少 , 即 各 函数 调用 的 返回 ,函数 栈 会 一 块 块 地 被 遗弃 而 向 内 存 的 
高 址 方向 回 缩 。 各 函数 的 栈 大 小 随 着 函数 的 性 质 的 不 同 而 不 等 ,由 函数 的 局 部 变量 的 数目 
决定 。 进 程 对 内 存 的 动态 申请 是 发 生 在 Heap( 堆 ) 里 的 。 也 就 是 说 , 随 着 系统 动态 分 配给 进 
程 的 内 存 数 量 的 增加 ,Heap( 堆 ) 有 可 能 向 高 址 或 低 址 延伸 ,依赖 于 不 同 CPU 的 实现 。 但 一 
般 来 说 是 向 内 存 的 高 地 址 方向 增长 的 。 当 发 生 函 数 调 用 时 , 先 将 函数 的 参数 床 人 栈 中 ,然后 
将 函数 的 返回 地 址 压 和 人 栈 中 ,这 里 的 返回 地 址 通常 是 Call 的 下 一 条 指令 的 地 址 。 例 如 定义 
buffer 时 程序 可 分 配 24 个 字 节 的 空间 ,在 strcpy 执行 时 向 buffer 里 复制 字符 串 时 并 未 检查 
长 度 ,向 buffer 里 复制 的 字符 串 如 果 超 过 24 个 字 节 ,就 会 产生 溢出 。 如 果 向 buffer 里 复制 
的 字符 串 的 长 度 足 够 长 ,把 返回 地 址 覆盖 后 程序 就 会 出 错 。 一 般 会 报 段 错误 或 者 非法 指令 ， 
如 果 返 回 地 址 无 法 访问 , 则 产生 段 错误 ,如 果 不 可 执行 则 视 为 非法 指令 。 

3. 堆 洲 出 利用 

堆 内 存 由 分 配 的 很 多 的 大 块 内 存 区 组 成 ,每 一 块 都 含有 描述 内 存 块 大 小 和 其 他 一 些 细 
季 信 息 的 头 部 数据 。 如 果 堆 缓冲 区 遭受 了 溢出 ,攻击 者 能 重 写 相 应 堆 的 下 一 块 存储 区 ,包括 
其 头 部 。 如 果 重 写 堆 内 存 区 中 下 一 个 堆 的 头 部 信息 , 则 在 内 存 中 可 以 写 进 任意 数据 。 然 而 ， 
不 同 目标 软件 各 自 特点 不 同 , 堆 溢出 攻击 实施 较为 困难 。 

4. 格式 化 串 漏 洞 利用 

所 谓 格 式 化 串 ,就 是 在 * printf() 系 列 函数 中 按照 一 定 的 格式 对 数据 进行 输出 ,可 以 输 
出 到 标准 输出 , 即 printfO 〇 0), 也 可 以 输出 到 文件 句柄 、 字 符 串 等 ,对 应 的 函数 有 fprintf、 
sprintf ,snprintf ,vprintf、vfprintf ,vsprintf、vsnprintf 等 。 能 被 黑客 利用 的 地 方 也 就 出 在 这 
一 系列 的 * printf() 函 数 中 。 在 正常 情况 下 这 些 函 数 只 是 把 数据 输出 ,不 会 造成 什么 问题 ， 
但 是 * printf() 系 列 函数 有 三 条 特殊 的 性 质 , 这 些 特殊 性 质 如 果 被 黑客 结合 起 来 利用 ,就 会 

可 以 被 黑客 利用 的 x* printf() 系 列 函 数 的 三 个 特性 : 参数 个 数 不 固 定 造成 访问 越界 数 
据 ; 利用 %n 格式 符 写 入 跳 转 地 址 ; 利用 附加 格式 符 控制 跳 转 地 址 的 值 。 

5. shellcode 技术 

缓冲 区 溢出 成 功 后 ,攻击 者 如 希望 控制 目标 计算 机 ,必须 用 shellcode 实现 各 种 功能 。 
shellcode 是 一 堆 机 器 指令 集 , 基 于 x86 平台 的 汇编 指令 实现 ,用 于 溢出 后 改变 系统 的 正常 
流程 , 转 而 执行 shellcode 代码 从 而 完成 对 目标 计算 机 的 控制 。1996 年 Aleph One 在 
Underground 发 表 的 论文 给 这 种 代码 起 了 一 个 shellcode 的 名 称 , 从 而 延续 至 今 。 


6.5 信息 系统 安全 


在 组 织 对 信息 的 依赖 越 来 越 强 的 今天 ,任何 关键 信息 系统 运转 的 终端 或 者 数据 的 丢失 
都 可 能 会 给 组 织造 成 不 可 估量 的 损失 。 如 何 有 效 地 保证 数据 信息 的 完整 性 、 可 用 性 和 保密 
性 是 信息 系统 安全 研究 的 一 个 重点 内 容 。 
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6.5.1 数据 的 安全 威胁 


随 着 社会 对 计算 机 和 网 络 的 依赖 性 越 来 越 大 ,如 何 保证 计算 机 中 数据 的 完整 性 ,保密 性 
和 可 用 性 成 为 每 一 个 计算 机 使 用 者 关心 的 重点 。 数 据 的 完整 性 和 可 用 性 就 是 保证 计算 机 系 
统 上 的 数据 和 信息 处 于 一 种 完整 和 未 受 损 的 状态 。 

针对 数据 完整 性 、 可 用 性 、 保 密 性 最 常见 的 威胁 来 自 攻击 者 或 者 计算 机 操作 员 、 硬 件 故 
障 、 网 络 故 障 和 灾难 。 攻 击 者 的 目的 是 对 信息 进行 窃取 或 者 破坏 ,计算 机 操作 员 也 存在 误 删 
误 改 的 误 操作 行为 ,这 都 对 数据 的 安全 性 构成 巨大 的 威胁 。 而 除了 人 为 造成 的 问题 之 外 , 硬 
件 故障 和 网 络 故 障 也 是 计算 机 运行 过 程 中 常见 的 故障 ,它们 也 将 破坏 数据 的 安全 属性 ,严重 
时 造成 数据 的 丢失 。 而 往往 在 毫 无 防备 的 情况 下 突然 袭 来 的 灾难 ,使 系统 数据 的 安全 属性 
遭受 更 严重 的 挑战 ,所 有 系统 连同 数据 项 刻 间 全 部 毁坏 。 为 此 ,针对 数据 的 安全 威胁 进行 应 
对 ,将 有 效 提高 数据 的 完整 性 、 保 密 性 和 可 用 性 。 


6.5.2 数据 的 加 密 存储 


数据 安全 性 的 重要 一 点 是 保障 数据 的 保密 性 ,通常 采用 的 技术 是 数据 在 存储 过 程 中 采 
用 加 密 算 法 实现 数据 在 介质 中 加 密 存 放 。 数 据 保 密 性 的 目的 ,在 于 当 数据 介质 遭受 盗窃 或 
者 非法 复制 后 ,仍然 可 以 保证 关键 数据 不 被 泄漏 。 

在 Windows 操作 系统 中 ,NTFS 文件 系统 通过 EFS(Encrypt File System) 数 据 加 密 技 
术 实 现 数 据 的 加 密 存 储 。 当 启用 EFS 时 , Windows 创建 一 个 随机 生成 的 文件 加 密 密 钥 
(FEK) ,在 数据 写 人 到 磁盘 时 ,透明 地 用 这 个 FEK 加 密 数据 。 然 后 Windows 用 公 钥 加 密 
FEK ,把 加 密 的 FEK 和 加 密 的 数据 放 在 一 起 。 公 钥 是 第 一 次 使 用 EFS 时 , Windows 自动 
生成 的 公私 钥 对 中 的 公 钥 。FEK 是 对 称 密 钥 , 它 加 密 的 数据 只 能 在 用 户 有 相关 私 钥 才能 解 
密 出 FEK ,再 解密 出 加 密 的 数据 。 

此 外 ,PGP(Pretty Good Privacy) 除 了 对 电子 邮件 进行 加 密 以 防止 非 授 权 者 阅读 外 , 它 
也 可 实现 对 存储 介质 中 的 数据 进行 加 密 。PGP 采用 公 钥 密码 算法 对 数据 进行 加 密 , 它 可 创 
建 一 个 PGPdisk 虚拟 加 密 磁盘 ,所 有 数据 写 入 此 磁盘 空间 后 ,数据 都 处 于 加 密 状 态 ,只 有 输 
入 正确 的 passphrase, 才 能 访问 加 密 的 数据 信息 。 此 块 磁盘 空间 的 数据 即使 被 窃取 ,也 始终 
处 于 加 密 状 态 ,从 而 保证 了 数据 的 安全 。 


6.5.3 数据 备份 和 恢复 


数据 备份 作为 信息 安全 的 一 个 重要 内 容 , 其 重要 性 却 往 往 被 人 们 忽视 。 只 要 发 生 数 据 
传输 ,数据 存储 和 数据 交换 ,就 有 可 能 产生 数据 故障 ,如 果 没 有 采取 数据 备份 和 数据 恢复 手 
段 与 措施 ,就 会 导致 数据 的 丢失 。 有 时 造成 的 损失 是 无 法 弥补 与 估量 的 。 数 据 故障 的 形式 
是 多 种 多 样 的 。 通 常 ,数据 故障 可 划分 为 系统 故障 .事务 故障 和 介质 故障 三 大 类 。 计 算 机 的 
应 用 越 来 越 广泛 ,但 使 用 计算 机 系统 处 理 日 常 业务 在 提高 效率 的 同时 ,也 产生 了 新 的 问题 ， 
即 数据 失效 问题 。 一 旦 发 生 数据 失效 ,组 织 就 会 陷入 困境 : 客户 资料 .技术 文件 .财务 账 务 
等 数据 可 能 被 损坏 得 面目 全 非 ,而 允许 恢复 时 间 可 能 只 有 短 短 几 天 或 更 少 。 如 果 系 统 无 法 
顺利 恢复 ,最 终结 局 不 堪 设 想 。 所 以 组 织 的 信息 化 程度 越 高 ,备份 和 灾难 恢复 措施 就 越 
重要 。 
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数据 备份 与 数据 恢复 是 保护 数据 的 最 后 手段 ,也 是 防止 主动 型 信息 攻击 的 最 后 一 道 防 
线 。 数 据 备 份 不 仅仅 是 简单 的 文件 复制 ,在 多 数 情 况 下 是 指数 据 库 备份 。 所 谓 数 据 库 备份 ， 
是 指 制作 数据 库 结 构 和 数据 的 副本 ,以 便 在 数据 库 遭 到 破坏 时 能 够 恢复 数据 库 。 备 份 的 内 
容 不 但 包括 用 户 的 数据 库 内 容 , 而 且 还 包括 系统 的 数据 库 内 容 。 需 要 注意 的 是 ,大 容量 的 备 
份 不 等 于 简单 的 文件 复制 ,也 不 等 于 文件 的 永久 性 归档 , 它 是 要 求 一 种 高 速 , 大 容量 的 存储 
介质 将 所 有 的 文件 (网 络 系统 、 应 用 软件 ,用户 数据 ) 进 行 全 面 的 复制 与 管理 。 

1. 数据 备份 的 方式 

数据 备份 有 多 种 方式 ,在 不 同 的 情况 下 ,应 该 选择 最 合适 的 方法 。 按 备份 的 数据 量 来 
说 ,有 完全 备份 . 增 量 备份 .差分 备份 与 按 需 备 份 四 种 。 完 全 备份 ,备份 系统 中 的 所 有 数据 ， 
特点 是 备份 所 需 的 时 间 最 长 ,但 恢复 时 间 最 短 ,操作 最 方便 ,也 最 可 靠 ; 增 量 备份 ,只 备份 上 
次 备份 以 后 有 变化 的 数据 ,特点 是 备份 时 间 较 短 , 占 用 空间 较 少 ,但 恢复 时 间 较 长 ; 差分 备 
份 ,只 备份 上 次 完全 备份 以 后 有 变化 的 数据 ,特点 是 备份 时 间 较 长 ,占用 空间 较 多 ,但 恢复 时 
间 较 快 ; 按 需 备份 ,根据 临时 需要 有 选择 地 进行 数据 备份 。 

决定 采用 何 种 备份 方式 ,还 取决 于 以 下 两 个 重要 因素 : 备份 窗口 ,完成 一 次 给 定 备份 所 
需 的 时 间 , 这 个 备份 窗口 由 需要 备份 数据 的 总 量 和 处 理 数据 的 网 络 架构 的 速度 来 决定 ; 恢 
复 窗 口 ,恢复 整个 系统 所 需 的 时 间 ,恢复 窗口 的 长 短 取 决 于 网 络 的 负载 和 磁带 库 的 性 能 及 速 
度 。 在 实际 应 用 中 ,必须 根据 备份 窗口 和 恢复 窗口 的 大 小 ,以 及 整个 数据 量 ,决定 采用 何 种 
备份 方式 。 一 般 来 说 ,差分 备份 避免 了 完全 备份 和 增 量 备份 的 缺陷 ,又 具有 它们 的 优点 。 差 
分 备份 无 须 每 天 都 做 系统 完全 备份 ,并 且 灾 难 恢 复 很 方便 ,只 需要 上 一 次 完全 备份 磁带 和 灾 
难 发 生前 一 天 磁带 就 可 以 完全 恢复 数据 ,因此 采用 完全 备份 结合 差分 备份 的 方式 较为 适宜 。 

2. 数据 备份 的 状态 

按 备份 状态 来 划分 ,有 物理 备份 和 逮 辑 备份 两 种 。 物 理 备份 是 指 将 实际 物理 数据 库 文 
件 从 一 处 复制 到 另 一 处 的 备份 , 冷 备份 、 热 备份 都 属于 物理 备份 。 所 谓 冷 备份 ,也 称 脱 机 
(Offline) 备 份 ,是 指 以 正常 方式 关闭 数据 库 , 并 对 数据 库 的 所 有 文件 进行 备份 。 其 缺点 是 需 
要 一 定 的 时 间 来 完成 ,在 备份 期 间 ,最 终 用 户 无 法 访问 数据 库 , 而 且 这 种 方法 不 易 做 到 实时 
的 备份 。 所 谓 热 备份 ,也 称 联机 (Online) 备 份 , 是 指 在 数据 库 打开 和 用 户 对 数据 库 进行 操作 
的 情况 下 进行 的 备份 ; 也 指 通过 使 用 数据 库 系统 的 复制 服务 器 ,连接 正在 运行 的 主 数据 
库 服 务 器 和 热 备 份 服务 器 ,当主 数据 库 的 数据 修改 时 ,变化 的 数据 通过 复制 服务 器 可 以 
传递 到 备份 数据 库 服 务 器 中 ,保证 两 个 服务 器 中 的 数据 一 致 。 这 种 热 备 份 方式 实际 上 是 
一 种 实时 备份 ,两 个 数据 库 分 别 运 行 在 不 同 的 机 器 上 ,并 且 每 个 数据 库 都 写 到 不 同 的 数 
据 设备 中 。 逻 辑 备份 就 是 将 某 个 数据 库 的 记录 读 出 并 将 其 写 和 人 到 一 个 文件 中 ,这 是 经 常 
使 用 的 一 种 备份 方式 。MS-SQL 和 Oracle 等 都 提供 Export/Import 工具 来 用 于 数据 库 的 
人 逻辑 备份 。 

3. 数据 备份 的 层次 

从 备份 的 层次 上 划分 ,可 分 为 硬件 元 余 和 软件 备份 。 目 前 的 硬件 宛 余 技术 有 双 机 容错 、 
磁盘 双 工 、 磁 盘 阵 列 (RAID) 与 磁盘 镜像 等 多 种 形式 。 硬 件 宛 余 也 有 它 的 不 足 , 一 是 不 能 解 
决 因 病 毒 或 人 为 误 操作 引起 的 数据 丢失 以 及 系统 瘫痪 等 灾难 ; 二 是 如 果 错 误 数据 也 写 入 备 
份 磁盘 ,硬件 宛 余 也 会 无 能 为 力 。 理 想 的 备份 系统 应 使 用 硬件 容错 来 防止 硬件 障碍 ,使 用 软 
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件 备份 和 硬件 容错 相 结合 的 方式 来 解决 软件 故障 或 人 为 误 操作 造成 的 数据 丢失 。 从 备份 地 
点 来 划分 还 可 分 为 本 地 备份 和 异地 备份 。 此 外 ,在 计算 机 网 络 系统 中 ,还 要 注意 区 分 数据 备 
份 与 服务 器 容错 的 不 同 含义 。 

4. 服务 器 容错 

高 可 用 性 系统 的 主要 功能 是 保证 在 计算 机 系统 的 软 硬 件 出 现 单 点 故障 时 ,通过 集群 软 
件 实现 业务 的 正常 切换 ,保证 业务 不 间断 ` 不 停顿 。 高 可 用 性 系统 是 一 组 通过 高 速 网 络 连接 
的 计算 机 集合 ,通过 高 可 用 集群 软件 相互 协作 ,作为 一 个 整体 对 外 提供 服务 。 在 集群 中 的 每 
台 服 务 器 都 分 别 运行 后 台 检测 进程 和 控制 进程 ,定时 收集 磁盘 、 网 络 .串口 等 信息 , 当 检 测 进 
程 发 现 集群 中 某 台 服务 器 出 现 故 障 后 ,将 对 这 台 故 障 服务 器 进行 接管 处 理 ,接管 后 IP 地 址 
动态 切换 ,并 由 集群 中 的 正常 服务 器 自动 启动 故障 服务 器 的 应 用 程序 和 数据 库 , 保 证 系统 和 
应 用 服务 不 间断 。 高 可 用 性 系统 通过 多 个 服务 器 的 相互 备份 实现 了 服务 器 单 点 故障 时 业务 
的 正常 进行 ,例如 服务 机 的 双 网 卡 或 多 网 卡 ,以 及 RAID( 元 余 磁盘 阵列 ) 等 。 由 于 集群 系统 
在 计算 上 的 内 在 关联 性 ,决定 了 节点 之 间 的 数据 交换 量 较 大 ,特别 当 集 群 内 节点 数 增加 到 几 
上 乃至 几 百 时 ,内 部 网 络 传输 数据 的 速率 是 整个 系统 计算 速度 的 瓶 开 。 较 高 的 传输 带宽 和 
尽量 低 的 传输 延 时 是 高 可 用 系统 所 追求 的 主要 目标 。 

5. 网 络 备份 

传统 的 单机 备份 ,备份 设备 连接 到 服务 器 ,所 以 服务 器 负担 重 ,备份 操作 安全 性 差 。 当 
服务 器 采用 双 机 或 集群 时 ,备份 设备 只 能 通过 其 中 的 一 台 服 务 器 进行 备份 。 当 网 络 中 业务 
主机 较 多 ,并且 需 要 实施 备份 操作 的 系统 平台 和 数据 库 版 本 不 同时 ,通过 网 络 备份 服务 器 对 
局 域 网 中 的 不 同业 务 主机 数据 进行 备份 就 是 一 个 最 佳 的 选择 。 网 络 备份 是 通过 在 网 络 备份 
服务 器 上 安装 备份 服务 器 端 软件 ,在 需要 进行 数据 备份 的 业务 主机 上 安装 网 络 备份 客户 端 
软件 ,客户 端 软件 将 备份 的 数据 通过 网 络 传 到 备份 服务 器 进行 备份 。 网 络 备份 使 每 台 服 务 
器 负担 减轻 ,备份 操作 安全 性 高 ,而 且 可 通过 一 台 网 络 备份 服务 器 备份 多 台 业 务 主机 和 服务 
器 。 网 络 备 份 可 通过 网 络 备份 软件 跨 平 台 实 时 备份 正在 使 用 的 数据 库 和 文件 ,支持 多 服务 
器 环境 平行 作业 备份 操作 。 通 过 网 络 备份 软件 也 可 以 很 好 地 对 备份 介质 进行 管理 ,实现 全 
自动 备份 和 恢复 ,可 实现 定时 备份 ,并 支持 完全 备份 、 增 量 备份 . 差 量 备份 等 多 种 备份 策略 。 
网 络 备份 为 局 域 网 中 的 数据 备份 提供 了 高 效 的 备份 管理 手段 。 

网 络 备份 技术 在 具有 自身 优势 的 同时 缺点 也 十 分 明显 , 它 占 用 大 量 网 络 资源 ,也 占用 一 
定 的 主机 资源 ,同时 备份 时 间 较 长 。 为 此 ,更 加 高 效 的 备份 技术 SAN (Storage Area 
Network, 存 储 区 域 网 ) 出 现 后 解决 了 这 些 问题 。 存 储 区 域 网 (SAN) 是 一 种 采用 了 光纤 接口 
将 磁盘 阵列 和 前 端 服 务 器 连接 起 来 的 高 速 专 用 子 网 。SAN 结构 允许 服务 器 连接 任何 存储 
设备 , 即 SAN 将 多 个 存储 设备 通过 光纤 交换 网 络 与 服务 器 互联 ,使 存储 系统 有 更 好 的 可 靠 
性 和 扩展 性 。SAN 减少 了 对 局 域 网 网 络 资源 的 占用 ,改善 了 数据 传输 性 能 ; 改善 了 数据 访 
问 途 径 和 访问 速度 ,服务 器 可 以 通过 光纤 网 络 高 速 、 远 距离 地 访问 共享 存储 设备 。 管 理 人 员 
也 可 以 集中 管理 存储 系统 ,强化 备份 和 恢复 策略 ,提高 整个 系统 的 效率 。 同 时 ,通过 光纤 交 
换 机 和 集线器 ,存储 设备 可 以 无 限 扩展 ,主机 节点 的 增加 和 替换 可 以 减少 对 系统 的 影响 。 
SAN 结构 以 一 种 共享 存储 系统 的 方式 支持 异 构 服 务 器 的 集群 ,保证 了 系统 的 高 可 用 性 。 它 
支持 所 有 服务 器 和 存储 设备 的 硬件 互联 ,服务 器 增加 存储 容量 变 得 非常 简单 。 
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6. 归档 和 分 级 存储 管理 

归档 和 分 级 存储 管理 是 与 网 络 备份 不 同 的 另 一 种 数据 备份 技术 。 它 可 用 来 解决 网 络 上 
的 数据 不 断 增长 ,造成 数据 量 过 大 ,计算 机 存储 空间 无 法 满足 数据 库存 储 需 求 的 情况 。 归 档 
是 指 将 数据 复制 或 者 打包 存放 ,以 便 能 长 时 间 地 进行 保存 。 归 档 的 主要 作用 是 长 期 保存 数 
据 , 将 有 价值 的 数据 安全 地 保存 较 长 的 时 间 。 文 件 归档 可 以 通过 文档 服务 器 对 重要 文档 进 
行 统一 备份 管理 。 普 通信 息 数据 一 般 通 过 数据 压缩 工具 进行 压缩 ,然后 定期 复制 后 存储 下 
来 。 另 一 种 常用 的 归档 方法 是 使 用 备份 系统 ,将 关键 数据 备份 到 可 移动 介质 中 存放 。 分 级 
存储 管理 是 一 种 对 用 户 和 管理 员 而 言 都 透明 的 、 提 供 归档 功能 的 自动 化 备份 系统 。 分 级 存 
储 管理 与 归档 的 区 别 , 在 于 它 把 数据 进行 了 迁移 ,而 不 是 纯粹 复制 。 分 级 存储 管理 系统 选择 
将 文件 进行 迁移 ,然后 将 文件 复制 到 存储 介质 中 , 当 文件 被 正确 地 复制 后 ,一 个 与 原文 件 具 
有 相同 名 字 的 标志 文件 被 创建 ,但 它 只 占用 比 原文 件 小 得 多 的 磁盘 空间 。 当 用 户 想 访问 这 
个 标志 文件 时 ,分 级 存储 管理 介入 进来 ,将 原始 数据 从 正确 的 存储 介质 中 恢复 过 来 。 分 级 存 
储 管理 主要 用 于 当 数据 变 得 越 来 越 陈旧 时 ,陈旧 的 数据 将 从 计算 机 的 存储 介质 中 转移 到 另 
一 种 存储 介质 中 存放 ,以 节省 原 计 算 机 系统 中 有 限 的 存储 空间 。 

数据 备份 系统 和 高 可 用 性 系统 可 以 避免 由 于 软 硬 件 故障 、 人 为 操作 失误 和 病毒 造成 的 
数据 完整 性 、 可 用 性 的 破坏 。 但 是 , 当 计 算 机 系统 遭受 如 地 震 、 火 灾 和 恐怖 袭击 时 ,上 述 技 术 
仍然 无 法 解决 。 这 时 ,就 要 靠 数 据 容 灾 系统 保护 数据 的 完整 可 用 性 。 数 据 容 灾 系统 主要 原 
理 是 在 远程 建立 一 套 和 本 地 计算 机 系统 功能 相同 的 计算 机 系统 , 当 本 地 计算 机 系统 受到 意 
外 灾难 后 ,在 远程 仍然 保存 了 完整 的 数据 。 数 据 容 灾 系统 除了 在 本 地 包含 高 可 用 性 系统 和 
数据 备份 系统 之 外 ,还 包括 数据 远程 复制 系统 和 远程 高 可 用 性 系统 。 数 据 远程 复制 系统 主 
要 保证 本 地 数据 中 心 和 远程 备份 数据 中 心 的 数据 一 致 性 ,数据 远程 复制 一 般 通过 软件 数据 
复制 和 硬件 数据 复制 技术 实现 ,具体 复制 方式 主要 包括 同步 方式 和 异步 方式 。 远 程 高 可 用 
性 系统 主要 保证 本 地 发 生 灾 难 后 ,业务 及 时 切换 到 远程 备份 系统 , 它 基 于 本 地 高 可 用 性 系统 
之 上 ,实现 远程 故障 的 诊断 、 分 类 ,并 及 时 采取 相应 的 故障 接管 措施 。 

当 发 生 数据 故障 或 者 系统 失效 时 ,需要 利用 已 备份 的 数据 或 其 他 手段 ,及 时 对 原 系统 进 
行 恢复 ,以 保证 数据 安全 性 以 及 业务 的 连续 性 。 对 于 一 个 计算 机 业务 系统 ,所 有 引起 系统 非 
正常 宕 机 的 事故 ,都 可 以 成 为 灾难 。 当 无 法 预计 的 各 种 事故 或 灾难 导致 数据 丢失 时 ,及 时 采 
取 灾 难 恢复 措施 ,可 以 将 企业 或 组 织 的 损失 降低 到 最 低 。 一 般 灾难 发 生 时 , 留 给 系统 管理 员 
的 恢复 时 间 往 往 相 当 短 。 但 现 有 的 备份 措施 没有 任何 一 种 能 够 使 系统 从 大 的 灾难 中 迅速 恢 
复 过 来 。 

通常 情况 下 ,系统 管理 员 想 要 恢复 系统 至 少 需要 下 列 几 个 步骤 : 四 恢复 硬件 ; @ 重 新 
装 和 人 操作 系统 ; 加 设置 操作 系统 (驱动 程序 设置 ,系统 ,用 户 设置 ); @ 重 新 装 入 应 用 程序 ， 
进行 系统 设置 ; @ 用 最 新 的 备份 恢复 系统 设置 。 

系统 备份 与 普通 数据 备份 的 不 同 在 于 . 它 不 仅仅 备份 系统 中 的 数据 ,还 备份 系统 中 安装 
的 应 用 程序 ` 数 据 库 系 统 ` 用 户 设置 .系统 参数 等 信息 ,以 便 需 要 时 迅速 恢复 整个 系统 。 

系统 备份 方案 中 必须 包含 灾难 恢复 措施 ,灾难 恢复 同 普通 数据 恢复 的 最 大 区 别 在 于 : 
在 整个 系统 都 失效 时 ,用 灾难 恢复 措施 能 够 迅速 恢复 系统 而 不 必 重 装 系统 。 需 要 注意 的 是 ， 
备份 不 等 于 单纯 的 复制 ,因为 系统 的 重要 信息 无 法 用 复制 的 方式 备份 下 来 ,而 且 管 理 也 是 备 
份 的 重要 组 成 部 分 。 管 理 包 括 自 动 备份 计划 、 历 史记 录 保 存 、 日 志 管 理 , 报 表 生 成 等 ,没有 管 
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理 功能 的 备份 ,不 能 算是 真正 意义 上 的 备份 ,因为 单纯 的 复制 并 不 能 减轻 繁重 的 备份 任务 。 
数据 备份 与 灾难 恢复 密 不 可 分 ,数据 备份 是 灾难 恢复 的 前 提 和 基础 ,而 灾难 恢复 是 在 此 基础 
之 上 的 具体 应 用 。 灾 难 恢复 的 目标 与 计划 决定 了 所 需要 采取 的 数据 备份 策略 。 而 与 数据 备 
份 策略 有 紧密 的 联系 。 

在 网 络 环境 中 ,系统 和 应 用 程序 安装 起 来 并 不 是 那么 简单 ,系统 管理 员 必 须 找 出 所 有 的 
安装 盘 和 原来 的 安装 记录 进行 安装 ,然后 重新 设置 各 种 参数 ,用户 信息 .权限 等 ,这 个 过 程 可 
能 要 持续 好 几 天 。 因 此 ,最 有 效 的 方法 是 对 整个 网 络 系统 进行 备份 。 这 样 ,无 论 系 统 遇 到 多 
大 的 灾难 ,都 能 够 应 付 自如 。 为 保证 数据 的 完整 性 和 可 用 性 , 常 采 用 备份 .归档 、 分 级 存储 、 
镜像 .RAID 以 及 远程 容 灾 等 技术 实现 对 数据 的 安全 保障 。 


6.5.4 信息 系统 灾 备 技术 


信息 系统 灾 备 是 指 信息 系统 的 灾难 备份 与 恢复 ,包括 灾难 前 的 备份 与 灾难 后 的 恢复 两 
层 含义 。 灾 难 备份 是 指 利用 技术 、 管 理 手 段 以 及 相关 资源 确保 关键 数据 关键 数据 处 理 系 统 
和 关键 业务 在 灾难 发 生 后 可 以 恢复 的 过 程 。 

信息 化 发 展 的 趋势 也 是 我 们 要 建设 以 及 确定 今后 灾 备 方向 的 一 个 重要 因素 。 现 在 信息 
的 重要 性 ,已 经 远 远 超过 了 系统 设备 本 身 , 信 息 系 统 的 信息 量 增长 非常 惊人 ,信息 有 效 地 保 
存 已 经 成 为 一 个 很 严峻 的 问题 。 在 信息 领域 , 灾 备 系统 可 以 理解 为 是 以 存储 系统 作为 基本 
支持 系统 、 以 网 络 作 为 基本 传输 手段 、 以 容错 软 / 硬 件 技术 为 直接 技术 手段 \ 以 管理 技术 为 重 
要 辅助 手段 的 综合 系统 。 

一 般 情况 下 ,信息 系统 灾难 发 生 的 原因 有 三 种 ,分 别 是 自然 灾难 、 人 为 灾难 和 技术 灾难 。 
自然 灾难 所 产生 的 直接 后 果 就 是 本 地 数据 信息 难以 获取 或 保全 ,本 地 系统 难以 在 短 时 间 内 
恢复 或 重建 、 灾 难 对 信息 系统 的 影响 和 范围 难以 控制 。 人 为 灾难 的 后 果 是 丢失 或 泄漏 重要 
数据 信息 、 性 能 降低 乃至 丧失 系统 服务 功能 、 软 件 系 统 骨 溃 或 者 硬件 设备 损坏 。 技 术 灾 难 的 
后 果 是 造成 信息 .数据 的 损害 或 丢失 。 

灾难 备份 系统 的 目的 就 是 通过 建立 远程 备用 数据 处 理 中 心 , 将 生产 中 心 数据 实时 或 非 
实时 地 复制 到 备份 中 心 。 

灾 备 核心 技术 主要 包括 存储 技术 信息 系统 评估 和 系统 重 构 技术 信息 安全 技术 和 系统 
管理 技术 。 

灾 备 存储 技术 主要 包括 虚拟 化 存储 技术 、 多 存储 版 本 的 管理 技术 、 删 除 重复 数据 技术 、 
集群 并 行 存储 技术 、 高 效能 存储 技术 等 。 灾 备 体系 结构 技术 其 核心 包括 容错 系统 结构 ,数据 
恢复 技术 、 系 统 恢复 技术 、 业 务 连续 性 服务 。 灾 备 信息 安全 技术 主要 用 于 保障 数据 在 存储 与 
传输 过 程 中 的 安全 性 问题 .网络 系 统 的 可 靠 和 安全 连接 问题 .计算 机 系统 的 安全 性 问题 、 使 
用 用 户 的 身份 安全 问题 和 系统 操作 的 不 可 抵赖 性 问题 等 。 其 核心 包括 数据 安全 性 技术 、 网 
络 安全 技术 、 系 统 安全 技术 、 身 份 安全 技术 、 安 全 审计 技术 。 灾 备 系统 管理 技术 是 灾 备 的 
关键 支撑 技术 ,包括 数据 信息 管理 、 灾 难 应 急 管理 、 系 统 恢复 管理 、 灾 难 影响 评估 与 决策 
支持 。 

灾 备 技术 未 来 发 展 方向 : 从 围绕 着 数据 存储 向 围绕 着 应 用 服务 转变 ,存储 技术 由 集中 
式 向 分 布 式 、 虚 拟 化 发 展 , 从 孤立 专用 系统 向 综合 服务 系统 转变 ; 围绕 服务 的 灾 备 技术 发 展 
方向 ,保障 业务 连续 性 ,要 求 数据 完整 而 可 用 、 系 统 快速 重建 ,应 用 快速 部 署 ; 新 型 容 灾 体系 
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结构 研究 ; 灾 备 存储 未 来 方向 包括 虚拟 化 灾 备 存储 技术 ,重复 数据 删除 与 压缩 技术 、 分 布 式 
灾 备 存储 技术 ; 灾 备 综合 服务 系统 建设 , 即 建 立 第 三 方 中 立 机 构 形式 的 外 包 灾 备 系统 ,重点 
解决 的 问题 包括 公信 力 问 题 数据 的 安全 性 、 维 护 的 便捷 性 、 可 扩展 性 、 可 共享 性 等 。 


6.6 实 训 


展 训 ”EasyRecovery 数据 盏 份 与 恢复 

实 训 目的 : 理解 数据 备份 的 概念 .熟悉 常用 的 数据 备份 方法 ; 理解 数据 恢复 的 原理 ,了 
解 常见 的 恢复 种 类 ,熟悉 常用 数据 恢复 软件 ; 能 用 数据 恢复 软件 EasyRecovery Professional 
进行 数据 恢复 。 

实 训 准备 : 

数据 备份 工作 是 系统 管理 员 的 重要 工作 和 职责 ,数据 备份 的 方法 很 多 ,备份 的 手段 也 多 
种 多 样 , 双 机 异地 备份 是 商业 服务 器 数据 安全 的 基本 要 求 。 实 验 前 要 求 复 习 备 份 的 概念 和 
方法 ,深入 理解 备份 . 增 量 备份 .系统 备份 .数据 备份 .持续 性 数据 保护 等 概念 ,掌握 数据 备份 
的 常用 方法 。 

确定 备份 计划 主要 考虑 以 下 几 个 方面 : 

(1) 确定 备份 的 频率 。 确 定 备份 频率 要 考虑 两 个 因素 : 一 是 系统 恢复 时 的 工作 量 , 二 
是 系统 活动 的 事务 量 。 数 据 库 备份 可 以 是 每 个 月 、 每 一 周 甚至 是 每 一 天 进行 ,而 事务 日 志 备 
份 可 以 是 每 一 周 .每 一 天 甚至 是 每 一 小 时 进行 。 

(2) 确定 备份 的 内 容 、 介 质 和 存放 地 点 。 

(3) 确定 备份 采用 动态 备份 还 是 静态 备份 。 

(4) 估计 备份 需要 的 存储 空间 量 。 在 执行 备份 前 ,应 该 估计 备份 需要 使 用 的 存储 空 
间 量 。 

(5) 确定 备份 的 人 员 。 

执行 数据 库 恢 复 以 前 ,应 注意 以 下 两 点 : 

(1) 在 数据 库 恢复 前 ,应 该 删除 故障 数据 库 , 以 便 删除 对 故障 数据 库 的 任何 引用 。 

(2) 在 数据 库 恢复 前 ,必须 限制 用 户 对 数据 库 的 访问 ,数据 库 的 恢复 是 静态 的 ,应 使 用 
企业 管理 器 或 在 系统 存储 过 程 中 设置 数据 库 为 单 用 户 。 

实 训 内 容 : 

1. Windows XP 文件 备份 与 还 原 

(1) 运行 备份 工具 : 选择 开始”| ”程序 "| 附件 "| 系统 工 具 ”| 备份 ”命令 。 初 次 运行 
是 以 向 导 模 式 运 行 的 ,为 了 方便 讲解 , 单 击 * 高 级 模式 "打开 备份 工具 的 主 界面 ,如 图 6-11 
所 示 。 

(2) 对 某 些 资料 进行 备份 : 在 Windows XP* 备 份 ”" 中 ,选中 “高 级 模式 ”, 在 图 6-11 中 ， 
单 击 “ 备 份 ”, 出 现 如 图 6-12 所 示 。 

在 图 6-12 中 , 单 击 * 下 一 步 ?| “浏览 ”, 选 择 备份 文件 以 及 保存 位 置 并 输入 备份 的 名 称 ， 
如 图 6-13 所 示 。 
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欢迎 使 用 备份 工具 高 级 模式 
如 果 原意 ， 修 可 以 切换 到 向 导 模 式 ， 使 用 备份 或 还 原 的 简化 设置 


< | 备份 向 导 ( 高 怨 ) 四) 

EE 
,| 还 原 向 导 ( 高 级 ) (8) 

巧 还 原 向 导 必 助 作 人 备份 还 原 数 据 。 


| 人世 括 丙 委 的 丰 二 和 份 ， 印 基 有 天 寺 设 和 人 本 地 
ee 


图 6-11 备份 工具 主 界面 


要 备份 的 项 目 
您 可 以 备份 任何 粗 合 形式 的 驱动 器 、 文 件 到 或 文件 。 上 各 
二 


让 人 内容 热 后 选择 要 备份 的 驱动 器 、 文 件 来 或 文件 


由 口 回 FFstremw 

由 - 口 加 test 

由 口 园 testl2 口上 自 jamerest 

由 - 口 回 test3 二 

白 园 加 实验 人 口 自 Frstremw 
由 -回回 .wyeclipse 
由 -回回 . :ettings 
由 - 固 回 :re 
回国 Yebgoot 


Sm 国 


= 二 [到 浊 
图 6-12 利用 备份 向 导 备份 

在 图 6-13 中 , 单 击 “ 下 一 步 "| * 完 成 ”这样 就 建立 了 一 个 后 缀 名 为 Backup 的 备份 文件 ， 
如 图 6-14 所 示 。 

最 好 把 备份 文件 放 到 另外 的 存储 器 中 ,如 第 二 个 硬盘 、U 盘 、 刻 录 光 盘 等 ,以 免 主 硬盘 
有 问题 导致 数据 与 备份 一 起 丢失 。 

(3) 对 备份 进行 还 原 ( 以 还 原 刚 创 建 的 Backup. bkf 这 个 备份 文件 为 例 )。 在 图 6-11 
中 , 单 击 “ 还 原 向 导 ”1“ 下 一 步 ”, 在 “要 还 原 的 项 目 ” 里 选择 需要 还 原 的 项 目 和 对 应 的 文件 夹 
(在 文件 列表 框 选中 需要 还 原 的 文件 ) .如 图 6-15 所 示 。 如 果 你 重 装 了 系统 导致 没有 还 原 项 
目 列表 的 话 , 可 以 单 击 “ 浏 览 ” 按 钮 来 找到 备份 文件 。 
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了 义 


备份 类 型 、 目 标 和 名 称 
娩 的 文件 和 设置 储存 在 指定 的 目标 。 了 已 完成 备份 。 


要 估 轩 详细 信息 ,请 单 击 “报告 " 。 
文件 W883: ET 
选择 保存 备份 的 位 置 到 ) 标签 : Backup. bkf 外 隧 了 2011-5-4, 位 于 22:04 


r:\ 


选 至 备份 类 型 公 ) 


键入 这 个 备份 的 名 称 CD) : 
Backup 


估计 剩余 时 间 


6-13 选择 备份 位 置 


还 原 项 目 
您 可 还 原 任何 姐 合 形式 的 驱动 器 、 文 件 来 或 文件 。 


东宫 守 汪 作 江上 愉 本省 六 内 尖 。 状 后 ， 选择 想 要 还 原 的 驱 


媒人 
日 四 则 Beckup. bk€ 创 蛙 了 | 口 加 Backvup. bkf 创建 了 2011-5-4; ..， FP\ 


回 印 " 


图 6-15 利用 备份 还 原 向 导 进行 还 原 


在 图 6-15 中 , 单 击 * 下 一 步 "1“ 完 成 "就 把 原来 的 备份 还 原 到 以 前 备份 的 源 地 址 了 。 选 
择 “ 高 级 "还原 选项 ,可 以 对 还 原 位 置 作 出 选择 ,如 图 6-16 所 示 。 

原 位 置 : 备份 时 的 文件 位 于 哪里 就 恢复 到 哪里 。 

蔡 换 位 置 : 自己 选择 还 原 的 文件 保存 的 位 置 ,但 保持 原 有 的 目录 结构 。 

单个 文件 夹 : 自己 选择 还 原文 件 保 存 的 位 置 ,但 不 保存 原 有 的 目录 结构 。 

2. Windows 7 文件 备份 与 还 原 

(1) 在 Windows 7 桌面 ,双击 “计算 机 ”, 选 择 “ 系 统 属性 ”>“ 系 统 保护 ”, 然 后 选择 想 要 
开启 高 级 备份 与 还 原 功 能 的 磁盘 ,这 里 选择 “D 盘 ”, 单 击 “ 配 置 " 按 钮 。 
(2) 创建 系统 还 原点 , 填 入 还 原点 描述 ,这 里 填 入 D, 然 后 单 击 * 创 建 ?按钮 ,创建 成 功 后 
单 击 “关闭 ?按钮 。 
(3) 双击 桌面 “计算 机 ”, 右 击 “D 盘 ”, 选 择 “ 属 性 ”>“ 以 前 的 版 本 ”, 在 这 里 能 看 到 刚刚 
开启 备份 与 还 原 功 能 的 磁盘 为 我 们 创建 的 还 原点 文件 , 它 是 一 个 版 本 文件 。 
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图 6-16 高 级 还 原 选 项 设置 


(4) 打开 D 盘 ,选择 一 个 文件 夹 ,然后 删除 该 文件 夹 ,并 清空 回收 站 。 

(5) 双击 桌面 “计算 机 ”, 右 击 “D 盘 ” ,选择 * 属 性 ”一 以 前 的 版 本 ”, 单 击 “D 盘 ”( 这 就 是 
系统 为 我 们 备份 的 以 前 的 版 本 信息 ) ,再 单 击 * 还 原 ” 按 钮 。 系 统 现在 就 在 进行 以 前 版 本 的 还 
原 操作 。 

(6) 打开“ 计算机”, 双击 “D 盘 ” .检查 被 删除 的 文件 是 否 已 经 恢复 。 

3. 使 用 数据 恢复 软件 EasyRecovery Professional 进行 数据 恢复 

(1) 解压 缩 并 安装 EasyRecovery Professional V6. 10. 07 。 

(2) 打开 EasyRecovery. exe, 选 择 “ 数 据 恢复 ”选项 ,如 图 6-17 所 示 。 


高 级 恢复 删除 恢复 
RN | Pr 


格式 化 恢复 NS Raw 恢复 
从 格式 化 过 的 站 中 侠 复 网 >” 忽 周 任何 文件 系统 信息 
文件 进行 局 复 


继续 恢复 
继续 进行 一 个 保存 的 数据 国 。 外 是 和 引导 实名 启动 全 
恢复 进度 


紧急 启动 盘 


图 6-17 ”EasyRecovery 软件 界面 


单 击 “ 高 级 恢复 ”按钮 , 首先 会 弹出 “目标 文件 警告 ”对话 框 ,在 此 对 话 框 中 ， 
EasyRecovery 要 求 用 户 将 要 恢复 的 文件 复制 到 除 源 文件 位 置 以 外 的 安全 位 置 。 

如 果 系 统 中 有 多 个 被 损坏 的 分 区 .不 要 将 文件 从 一 个 分 区 恢复 到 另 一 个 损坏 的 分 区 ,这 
种 情况 下 ,可 以 使 用 可 移动 的 介质 或 者 另 一 个 未 损坏 的 硬盘 驱动 器 作为 目标 位 置 。 在 该 对 
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话 框 中 ,选中 “不 要 再 显示 此 消息 ” 复 选 框 ,然后 单 击 “ 确 定 ” 按 钮 ,如 图 6-18 所 示 。 


| sasyBecovery 要 求 经 特 廊 件 复制 除 源 位 置 以 外 的 安全 位 置 ， 加 果 你 选择 源 位 置 作为 上 村 位 
| 总 和 民 从 工具 格 答 汉 术 测 ， 因 此 趟 必须 先 搓 一 个 尖 位 蔷 以 外 的 目标 位 羞愧 成 估 敌 。 


PE 


扩 下 要 了 有 未 上 站 下 | 


图 6-18 将 文件 恢复 至 安全 位 置 


(3) 在 “高 级 恢复 ”界面 中 ,选择 要 查找 的 分 区 ,然后 单 击 “高 级 选项 ”按钮 ,如 图 6-19 
所 示 。 


到 的 电 及 
日 目 ST3320418AS (298.09 68) 结束 扇 区 ， 576042704 
@ 无 法 R8 29.78 6B) 本 KR 而 
BC:\) WPS (29.29 GB) 卷 大 小 ; 68.16 GB 


加 无 法 识别 (70.31 68) 
S 


图 例 
FAT 12 mrAT16 mIAT32 mrs 
则 未知 文 件 系统 而 所 先 分 区 


高 级 选项 查看 重新 扫描 系统 


图 6-19 ”高 级 恢复 界面 


(4) 在 弹出 的 “高 级 选项 ?对 话 框 中 ,包含 “分 区 信息 ”文件 系统 扫描 ?“ 分 区 设置 ”和 
“恢复 选项 ”4 个 选项 卡 。 在 "分 区 信息 ?选项 卡 中 ,可 以 设置 起 始 扇 区 和 结束 扇 区 。 当 分 区 
不 可 见 时 ,可 以 在 此 输入 起 始 和 结束 扇 区 ,如果 分 区 可 见 则 保留 默认 值 , 如 图 6-20 所 示 。 

在 “文件 系统 扫描 ”选项 卡 的 “文件 系统 "下拉 列 框 表 中 选择 分 区 的 文件 类 型 ,可 以 在 
FAT12、FAT16、FAT32 和 NTFS 之 间 选 择 , 如 图 6-21 所 示 。 在 选择 “高 级 扫描 ” 单 选 按钮 
后 , 单 击 “* 高 级 选项 ”按钮 ,从 中 可 以 设置 “得 大 小 ”和 * 起 始 数据 ”。 

在 “分 区 设置 ”选项 卡 中 ,如 果 分 区 已 经 损坏 ,选择 “使 用 MFT” 选 项 可 以 使 用 当前 MFT 
扫描 文件 ; 如 果 分 区 被 意外 格式 化 了 ,选择 “忽略 MFT” 选 项 ,该 选项 将 忽略 所 有 文件 系统 结 
构 并 简单 地 扫描 文件 数据 。 在 “恢复 选项 ”选项 卡 中 ,允许 用 户 忽 略 扫 描 过 程 中 找到 的 含有 无 
效 属性 或 已 被 删除 的 文件 。 当 所 有 设置 完成 后 . 单 击 “ 确 定 ” 按 钮 ,再 单 击 “ 下 一 步 ”按钮 。 

(5) 这 时 EasyRecovery 将 开始 扫描 分 区 , 当 扫 描 到 数据 后 ,选中 要 恢复 的 文件 或 者 文 
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提示 


按 F1 获得 帮助 确定 取消 


图 6-20 设置 高 级 选项 


分 区 信息 ”文件 系统 扫描 | 人 区 设置 | 饮 复 选 项 | 
文件 系统 mrs ~ 


个 简单 扫描 简单 扫描 将 扫描 分 区 起 始 部 分 特定 的 分 区 起 始 信 息 。 
个 高 级 扫描 高 级 扫描 将 搜索 整个 分 区 并 重建 分 区 起 始 信息 。 

高 绍 选 项 
按 F1 获得 帮助 确定 取消 


图 6-21 确定 文件 系统 
件 夹 ,然后 单 击 “ 下 一 步 ” 按 钮 。 

(6) EasyRecovery 可 以 将 数据 恢复 到 本 地 驱动 器 ,或 者 通过 网 络 恢复 到 FTP 服务 器 。 
如 果 要 将 数据 恢复 到 本 地 驱动 器 ,选择 “恢复 至 本 地 驱动 器 " 单 选 按 钮 ,再 单 击 “ 浏 览 ” 按 钮 选 
择 目标 文件 夹 ; 如 果 要 将 数据 恢复 到 FTP 服务 器 , 则 选择 “恢复 至 FTP 服务 器 ”选项 ,并 单 
击 “FTP 选项 ?按钮 ,在 弹出 的 “FTP 选项 ”对 话 框 中 输入 FTP 服务 器 的 地 址 、 端 口 及 具有 
“上 传 ” 权 限 的 用 户 名 及 密码 ,然后 单 击 “ 确 定 ” 按 钮 。 

在 进行 数据 恢复 时 .还 可 以 使 用 “过 滤器 ”选项 ,以 恢复 指定 类 型 的 文件 。 选 中 “使 用 过 滤 
器 ” 复 选 框 ,然后 单 击 * 过 滤器 选项 ”按钮 ,在 弹出 的 “过 滤器 选项 对话 框 中 ,; 次 择 村 对 让 的 光 
件 , 在 “指定 文件 名 ”文本 框 中 指定 要 恢复 文件 的 文件 名 或 扩展 名 (支持 ”x ”和 *?” 通 配 符 ,“ 
代表 所 有 ,“?” 代 表 一 个 字符 )。 着 扫 放 下 作 光 扣 全 加 的 次 检 业 并) 这 而“ 和 7 要 机 必 
回 ,然后 再 进行 恢复 时 ,将 恢复 指定 的 文件 ,如 图 6-22 所 示 。 


. 


友 交叉 链接 加) 订 损坏 的 日 期 @) 
FP Bi 证 损坏 的 大 小 )】 。 屎 损坏 的 文件 名 名 


指定 文件 名 F * ~ 


所 有 文件 人 .要 了 
指定 文件 日 期 2 可 


指定 文件 大 小 GD) [名 四 ”| 确定 
按 Fl 获得 帮助 职 消 


图 6-22 恢复 指定 文件 
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随 着 网 络 及 信息 化 技术 的 发 展 与 普及 ,各 种 信息 化 服务 及 网 络 应 用 越 来 越 多 ,在 为 广大 
使 用 者 提供 便利 及 良好 服务 的 同时 ,也 存在 着 大 量 的 非法 信息 服务 及 网 络 应 用 ,如 盗版 的 音 
像 制品 及 软件 ,非法 的 电子 出 版 物 、 信 用 卡 欺 骗 网 站 以 及 宣扬 反动 暴力 和 色情 网 站 等 。 这 些 
非法 信息 严重 地 阻碍 影视 .出 版 软件、 金融 以 及 电子 商务 等 行业 的 正常 发 展 , 甚 至 危害 到 社 
会 稳定 及 国家 安全 。 


7.1 概 述 


信息 内 容 安全 主要 包括 两 方面 ,一 方面 是 指针 对 合法 的 信息 内 容 加 以 安全 保护 ,如 对 合 
法 的 音像 制品 及 软件 的 版 权 保护 ; 另 一 方面 是 指针 对 非法 的 信息 内 容 实 施 监管 ,如 对 网 络 
色情 信息 的 过 滤 等 。 互 联网 的 发 展 与 普及 使 电子 出 版 物 的 传播 和 交易 变 得 便捷 ,侵权 盗版 
活动 也 呈 日 益 独 狐 之 势 。 近 年 来 ,数字 产品 的 版 权 纠纷 案件 越 来 越 多 ,原因 是 数字 产品 被 无 
差别 地 大 量 复 制 是 轻而易举 的 事情 ,如 果 没 有 有 效 的 技术 措施 及 法 律 来 阻止 ,这 个 势头 必 更 
加 严重 。 为 了 打击 盗版 犯罪 ,一 方面 要 通过 立法 来 加 强 对 知识 产权 的 保护 ; 另 一 方面 要 有 
先进 的 技术 手段 来 保障 法 律 的 实施 。 

1. 内 容 保护 

信息 隐藏 技术 以 其 特有 的 优势 ,引起 人 们 的 好 奇 与 关注 。 人 们 首先 想到 的 就 是 在 数字 
产品 中 加 入 版 权 信 息 来 表明 版 权 的 所 有 者 , 它 可 以 作为 侵权 诉讼 中 的 证 据 , 而 为 每 件 产品 
配 的 唯一 产品 序列 号 也 可 以 用 来 识别 购买 者 ,从 而 为 追查 盗版 者 提供 线索 。 目 前 信息 隐藏 
还 没有 一 个 准确 和 公认 的 定义 。 

一 般 认 为 ,信息 隐藏 是 信息 安全 研究 领域 中 与 密码 技术 紧密 相关 的 一 个 分 支 。 信 息 隐 
藏 和 信息 加 密 都 是 为 了 保护 秘密 信息 的 存储 和 传输 ,使 之 免 遭 敌手 的 破坏 和 攻击 ,但 两 者 之 
间 有 着 显著 的 区 别 。 信 息 加 密 是 利用 对 称 密 钥 密码 或 公开 密 钥 密码 把 明文 变换 成 密 文 , 信 
息 加 密 所 保护 的 是 信息 的 内 容 。 信 息 隐藏 是 将 秘密 信息 嵌入 到 表面 上 看 起 来 无 害 的 宿主 信 
息 中 ,攻击 者 无 法 直观 地 判断 他 所 监视 的 信息 中 是 否 含有 秘密 信息 。 换 名 话说 ,含有 隐匿 信 
息 的 宿主 信息 不 会 引起 别人 的 注意 和 怀疑 ,同时 隐匿 信息 又 能 够 为 版 权 者 提供 一 定 的 版 权 
保护 。 

针对 内 容 保护 技术 大 多 数 都 是 基于 密码 学 和 隐 写 术 发 展 起 来 的 ,如 数据 锁定 、 隐 写 标 
记 ` 数 字 水 印 和 数字 版 权 管理 CDRM) 等 技术 ,其 中 最 具有 发 展 前 景 和 实用 价值 的 是 数字 水 
印 和 数字 版 权 管理 。 

数据 锁定 是 指出 版 商 把 多 个 软件 或 电子 出 版 物 集成 到 一 张 光盘 上 出 售 , 盘 上 所 有 的 内 
容 均 被 分 别 进行 加 密 锁定 ,不同 的 用 户 买 到 的 均 是 相同 的 光盘 ,每 个 用 户 只 需 付 款 买 他 所 需 
内 容 的 相应 密 钥 , 即 可 利用 该 密 钥 对 所 需 内 容 解除 锁定 ,而 其 余 不 需要 的 内 容 仍 处 于 锁定 状 
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态 , 用 户 是 无 法 使 用 的 。 隐 匿 标 记 是 指 利用 文字 或 图 像 的 格式 (如 间距 、 颜 色 等 ) 特 征 隐 藏 特 
定 信息 。 例 如 ,在 文本 文件 中 , 字 与 字 间 、 行 与 行 间 均 有 一 定 的 空白 间隔 ,把 这 些 空白 间隔 精 
心 改 变 后 可 以 隐藏 某 种 编码 的 标记 信息 以 识别 版 权 所 有 者 ,而 文件 中 的 文字 内 容 不 需 作 任 
何 改动 。 

数字 水 印 是 镶嵌 在 数据 中 ,并 且 不 影响 合法 使 用 的 具有 可 鉴别 性 的 数据 。 它 一 般 应 当 
具有 不 可 察觉 性 \ 抗 擦 除 性 、 稳 健 性 和 可 解码 性 。 为 了 保护 版 权 ,可 以 在 数字 视频 内 容 中 髓 
入 水 印信 和 号。 如 果 制 定 某 种 标准 ,可 以 使 数字 视频 播放 机 能 够 鉴别 到 水 印 ,一 旦 发 现在 可 写 
光盘 上 有 不 许 复制 的 水 印 ,表明 这 是 一 张 经 非法 复制 的 光盘 ,因而 拒绝 播放 。 还 可 以 使 用 数 
字 视 频 复制 机 检测 水 印信 息 , 如 果 发 现 不 许 复 制 的 水 印 ,就 不 去 复制 相应 内 容 。 

数字 版 权 管理 (Digital Rights Management,DRM) 技 术 是 专门 用 来 保护 数字 化 版 权 的 
产品 。DRM 的 核心 是 数据 加 密 和 权限 管理 ,同时 也 包含 了 上 述 提 到 的 几 种 技术 。DRM 特 
别 适合 基于 互联 网 应 用 的 数字 版 权 保护 ,目前 已 经 成 为 数字 媒体 的 主要 版 权 保护 手段 。 

2. 内 容 监管 

在 对 合法 信息 进行 有 效 的 内 容 保护 的 同时 ,针对 大 量 的 充斥 暴力 、 色 情 等 非法 内 容 的 媒 
体 信息 (特别 是 网 络 媒体 信息 ) 的 内 容 监管 也 十 分 必要 。 面 向 网 络 信息 内 容 的 监管 主要 涉及 
两 类 ,一 类 是 静态 信息 ,主要 是 存在 于 各 个 网 站 中 的 数据 信息 ,如 挂 马 网 站 的 有 关 网 页 色情 
网 站 上 的 有 害 内 容 以 及 钓鱼 网 站 上 的 虚假 信息 等 ; 另 一 类 是 动态 信息 ,主要 是 在 网 络 中 流 
动 的 数据 信息 ,如 网 络 中 传输 的 垃圾 邮件 、 色 情 及 虚假 网 页 信息 等 。 

针对 静态 信息 的 内 容 监 管 技术 主要 包括 网 站 数据 获取 技术 、 内 容 分 析 技 术 、 控 管 技术 
等 ,其 中 网 站 数据 获取 技术 是 指 通过 访问 网 站 采集 网 站 中 的 各 种 数据 ; 内 容 分 析 技 术 是 指 
对 采集 到 的 网 站 数据 进行 整理 分 析 , 判 断 其 危害 性 ,主要 涉及 协议 分 析 还 原 、 内 容 析 取 、 模 式 
匹配 、 多 媒体 信息 分 析 以 及 有 害 程度 判定 等 技术 ; 控 管 技术 是 指 对 违法 的 网 站 实施 有 效 的 
控制 管理 ,将 其 危害 性 减少 到 最 低 程度 ,主要 涉及 阻 断 对 有 害 网 站 的 访问 以 及 报警 技术 等 。 

对 于 动态 信息 进行 内 容 监 管 所 采取 的 技术 主要 包括 网 络 数据 获取 技术 、 内 容 分 析 技 术 、 
控 管 技术 等 。 其 中 网 络 数据 获取 技术 是 指 通过 在 网 络 关键 路 径 上 设置 数据 采集 点 ,以 监听 
捕获 通过 该 路 径 的 所 有 网 络 报 文 数据 。 有 关内 容 分 析 技 术 和 控 管 技术 部 分 基本 上 与 对 静态 
信息 采取 的 处 理 技术 相同 。 


7.2 版 权 保 护 


版 权 ( 又 称 “ 著 作 权 ”) 保 护 是 内 容 保护 的 重要 部 分 ,其 最 终 目 的 不 是 如 何 防止 使 用 ,而 是 
如 何 控制 使 用 ,版 权 保 护 的 实质 是 一 种 控制 版 权 作品 使 用 的 机 制 。 数 字 版 权 管 理 (Digital 
Rights Management, DRM) 技 术 就 是 以 一 定安 全 算法 实现 对 数字 内 容 的 保护 ,包括 电子 书 、 
视频 、 音 频 、 图 片 等 数字 内 容 。DRM 技术 的 目的 是 从 技术 上 防止 数字 内 容 的 非法 复制 ,用 
户 必 须 在 得 到 授权 后 才能 使 用 数字 内 容 。DRM 涉及 的 主要 技术 包括 数字 标识 技术 、 安 全 
和 加 密 技术 以 及 安全 存储 技术 等 。DRM 技术 方法 主要 有 两 类 ,一 类 是 采用 数字 水 印 技术 ; 
另 一 类 是 以 数据 加 密 和 防 复制 为 核心 的 DRM 技术 。 
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7.2.1 DRM 技术 


DRM 技术 自 产 生 以 来 ,得 到 了 工业 界 和 学 术 界 的 普遍 关注 ,被 视 为 数字 内 容 交 易 和 传 
播 的 关键 技术 。 国 际 上 已 有 丰富 的 产品 和 系统 ,如 Microsoft WMRM IBM EMMS、 Real 
Networks Helix DRM 以 及 Adobe Content Server 等 。 国 内 的 DRM 技术 发 展 同样 很 快 , 特 
别 是 在 电子 书 以 及 电子 图 书馆 方面 ,如 北大 方正 Apabi 数字 版 权 保护 技术 、 书 生 的 SEP 技 
术 .超星 的 PDG 等 。Microsoft 的 Windows XP 操作 系统 和 Office XP 等 系列 软件 中 也 使 用 
了 DRM 技术 。 

如 图 7-1 所 示 ,DRM 系统 结构 分 为 服务 器 和 客户 端 两 部 分 ,DRM 服务 器 的 主要 功能 是 
管理 版 权 文件 的 分 发 和 授权 ; DRM 客户 端 主 要 功能 是 依据 受 版 权 保护 文件 提供 的 信息 申 
请 授权 许可 证 ,并 依据 授权 许可 信息 解密 受 保护 文件 ,提供 给 用 户 使 用 。 首 先 ,原始 文件 经 
过 版 权 处 理 生 成 被 加 密 的 受 保护 文件 ,同时 生成 针对 该 受 版 权 保 护 文件 的 授权 许可 ,并 且 在 
受 保护 文件 头 部 存放 着 密 钥 识别 码 和 授权 中 心 的 URL 等 内 容 , 另 外 还 负责 提供 受 版 权 保 
护 的 文件 给 用 户 ,支持 授权 许可 证 的 申请 和 颁发 。 


| SS 1 和 下 

1 1 1 
上 0 1 1 1 
1 mm 容 久久 受 保护 | | ! 分 雪上 | | 受 保护 el 
! 处 理 文件 [分 发 一 7 文件 有 使 用 工具 ! 
1 1 1 DRM | 
二， 请 、| 二 了 可 | 过 | 
上 下 1 
1 i 咱 | Rs 朋 客户 路 1 

权限 + 密 钥 ) 

Le 有 


图 7-1 DRM 工作 原理 


目前 DRM 所 保护 的 内 容 主要 分 为 三 类 ,包括 电子 书 、 音 视频 文件 和 电子 文档 。 电 子 书 
是 指 利用 计算 机 技术 将 文字 、 图 片 、 声 音 、 影 像 等 内 容 合 成 的 数字 化 信息 文件 ,可 以 借助 于 特 
定 的 软 、 硬 件 设 备 进行 阅读 。 音 视频 是 指 利用 计算 机 等 设备 播放 的 数字 化 的 视听 媒体 文件 。 
电子 文档 是 指 和 人 们 在 社会 活动 中 形成 的 .以 存储 介质 为 载体 的 文字 材料 。 三 种 信息 内 容 的 
共同 特点 是 便于 复制 和 网 络 传播 ,同时 也 容易 受到 非法 盗版 的 影响 。 

Adobe 在 传统 印刷 出 版 领域 内 一 直 有 着 深刻 的 影响 ,Adobe 的 可 移植 文档 格式 (PDF) 
早已 成 为 电子 版 文档 分 发 的 公开 实用 标准 。Adobe 公司 用 于 保护 PDF 格式 电子 书籍 的 版 
权 保护 方案 的 核心 是 ACS(Adobe Content Server) 软 件 ,出 版 商 可 以 利用 ACS 的 打包 服务 
功能 对 可 移植 文档 格式 的 电子 书 进行 权限 设置 (如 打印 次 数 、 阅 读 时 限 等 ), 从 而 建立 数字 版 
权 管 理 。ACS 是 一 种 保障 eBook 销售 安全 的 DRM 系统 。 

方正 的 Apabi 数字 版 权 保护 软件 主要 由 Maker、Rights Server、Retail Server 和 Reader 
四 部 分 组 成 。Apabi Maker 是 将 多 种 格式 的 电子 文档 转化 成 eBook 的 格式 ,这 是 一 种 “文字 
十 图 像 ”的 格式 ,可 以 完全 保留 原文 件 中 字符 和 图 像 的 所 有 信息 ,不 受 操作 系统 、 网 络 环境 的 
限制 ; Apabi Rights Server 主要 用 于 出 版 社 端 服务 器 ,提供 数据 版 权 管理 和 保护 、 电 子 图 书 
加 密 和 交易 的 安全 鉴定 ; Apabi Retail Server 主要 用 于 书店 端 服务 器 ,提供 的 功能 与 Apabi 
Rights Server 类 似 ; Apabi Reader 是 用 来 阅读 电子 图 书 的 工具 ,通过 浏览 器 ,用 户 可 以 在 网 
上 买书 .读书 .下载 , 建 立 自己 的 电子 图 书馆 。 
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Microsoft 公司 于 1999 年 8 月 发 布 了 Windows Media DRM。 最 新 版 本 的 Windows 
Media DRM 10 系列 包括 了 服务 器 和 软件 开发 包 SDKs, 它 将 更 好 地 保护 媒体 文件 的 版 权 。 
软件 开发 者 可 以 使 用 Windows Media 管理 版 权 ,开发 用 于 加 密 和 分 发 许可 证 的 程序 和 获取 
许可 证 并 解密 播放 媒体 文件 的 播放 器 程序 。 加 密 后 的 媒体 文件 可 以 用 于 流 媒 体 播放 或 被 直 
接 下 载 到 本 地 ,消费 者 可 以 通过 DRM 兼容 播放 器 和 兼容 的 播放 设备 来 播放 经 过 加 密 的 数 
字 媒 体 文件 。 

RMS(Rights Management Services) 是 微软 公司 开发 的 .适用 于 电子 文档 保护 的 数字 内 
容 管理 系统 。 在 企业 内 部 有 各 种 各 样 的 数字 内 容 文档 ,常见 的 是 与 项 目 相关 的 文案 ,市场 计 
划 产品 资料 等 ,这 些 内 容 通常 仅 允 许 在 企业 内 部 使 用 。RMS 结构 与 图 7-1 所 示 的 结构 相 
类 似 ,主要 分 为 服务 器 和 客户 端 两 部 分 。 客 户 端 按 角色 不 同 又 分 为 权限 许可 授予 者 和 权限 
许可 接受 者 。RMS 服务 器 存放 由 企业 确定 的 信任 实体 数据 库 , 信 任 实体 包括 可 信任 的 计算 
机 、` 个 人 ,用 户 组 和 应 用 程序 ,对 数字 内 容 的 授权 包括 读 、 复 制 . 打 印 、 存 储 、 传 送 、 编 辑 等 , 授 
权 还 可 附加 一 些 约束 条 件 , 如 权限 的 作用 时 间 和 持续 时 间 等 。 例 如 ,一 份 财务 报表 可 限定 仅 
能 在 某 一 时 刻 由 某 人 在 某 台 电脑 上 打开 , 且 只 能 读 ,不 能 打印 ,不 能 屏幕 复制 ,不 能 存储 ,不 
能 修改 ,不 能 转发 ,到 另 一 时 刻 自动 销毁 。 

数字 水 印 也 是 DRM 经 常 使 用 的 数字 版 权 保护 技术 ,其 主要 原理 是 通过 一 些 算法 ,把 重 
要 的 信息 隐藏 在 图 像 中 ,同时 使 图 像 基本 保持 原状 (肉眼 很 难 察觉 变化 )。 版 权 信息 以 数字 
水 印 的 形式 加 入 图 像 后 ,同样 可 以 被 DRM 的 有 关 软 件 检测 到 ,发 现 是 非法 盗版 , 则 拒绝 播 
放 。 当 然 ,数字 水 印 还 可 以 用 于 跟踪 图 像 及 视频 被 非法 使 用 的 情况 ,目前 已 成 为 数字 版 权 保 
护 的 一 项 重要 技术 。 


7.2.2 数字 水 印 


原始 的 水 印 (Watermark) 是 指 在 制作 纸张 过 程 中 通过 改变 纸浆 纤维 密度 的 方法 而 形成 
的 ,“ 夹 "在 纸 中 而 不 是 在 纸 的 表面 , 迎 光 透视 时 可 以 清晰 看 到 的 有 明暗 纹 理 的 图 像 或 文字 。 
数字 水 印 (Digital Watermark) 也 是 用 来 证 明 一 个 数字 产品 的 拥有 权 、 真 实 性 。 数 字 水 印 是 
通过 一 些 算法 嵌入 在 数字 产品 中 的 数字 信息 ,如 产品 的 序列 号 .公司 图 像 标志 以 及 有 特殊 意 
义 的 文本 等 。 数 字 水 印 分 为 可 见 数 字 水 印 和 不 可 见 数字 水 印 。 可 见 数字 水 印 主要 用 于 声明 
对 产品 的 所 有 权 、 著 作 权 和 来 源 ,起 到 广告 宣传 或 使 用 约束 的 作用 ,例如 电视 台 播放 节目 时 
的 台 标 既 起 到 广告 宣传 的 作用 ,又 可 声明 所 有 权 。 不 可 见 数字 水 印 应 用 的 层次 更 高 ,制作 难 
度 更 大 ,应 用 面 也 更 广 。 

一 个 数字 水 印 (后 简称 为 "水 印 ”方案 一 般 包 括 三 个 基本 方面 : 水 印 的 形成 \ 水 印 的 骸 
入 和 水 印 的 检测 。 水 印 的 形成 主要 是 指 选择 有 意义 的 数据 ,以 特定 形式 生成 水 印信 息 ,如 有 
意义 的 文字 、 序 列 号 、 数 字 图 像 (商标 .印鉴 等 ) 或 
者 数字 音频 片段 的 编码 。 一 般 水 印信 息 可 以 根据 
需要 制作 成 可 直接 阅读 的 明文 信息 ,也 可 以 是 经 [a8 文 信 | .| 名 训 六 | | | 各 有 水 


FS 
水 印信 息 


过 加 密 处 理 后 的 密 文 。 的 文件 
如 图 7-2 所 示 : 水 印 的 嵌入 与 密码 体系 的 加 7 
密 环节 类 似 , 一 般 分 为 输入 .嵌入 处 理 和 输出 三 部 密码 


分 ,输入 包括 原始 宿主 文件 .水印 信息 和 密码 。 赔 图 7-2 水 印 嵌 入 模型 
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和 处理 完成 的 主要 任务 是 对 输入 的 原始 文件 进行 分 析 选 择 戏 入 点 ,将 水 印信 息 以 特定 的 方 
式 能 入 到 一 个 或 多 个 能 和 人 点 ,在 整个 过 程 中 可 能 需要 密码 参与 。 输 出 则 是 将 处 理 过 的 数据 
整理 为 带 有 水 印信 息 的 文件 。 

如 图 7-3 所 示 ,水 印 的 检测 一 般 分 为 两 部 分 工作 ,分别 是 检测 水 印 是 否 存 在 和 提取 水 印 
信息 。 水 印 的 检测 方式 主要 分 为 盲 水 印 检 测 和 非 盲 水 印 检测 , 盲 水 印 检测 主要 指 不 需要 原 
始 数据 (原始 宿主 文件 和 水 印信 息 ) 参 与 ,直接 检测 水 印信 号 是 否 存在 ; 非 盲 水 印 检测 是 在 
原始 数据 参与 下 进行 水 印 检测 。 图 7-3 中 水 印 提取 及 比较 主要 针对 不 可 见 水 印 ,一般 可 见 
水 印 可 以 直接 由 视觉 识别 。 


< 水 印 提取 


t 


没有 水 印 @A 已 被 和 改 
密码 


图 7-3 水 印 检 测 模型 


数字 水 印 的 使 用 一 般 要 以 不 破坏 原始 数据 的 欣赏 价值 、 使 用 价值 为 原则 ,因此 数字 水 印 
具有 以 下 基本 特征 。 

(1) 隐蔽 性 (不 可 见 水 印 ): 指 水 印 与 原始 数据 紧密 结合 并 隐藏 其 中 ,不 影响 原始 数据 
正常 使 用 的 特性 。 

(2) 鲁 棒 性 : 在 不 破坏 多 媒体 主观 质量 的 前 提 下 ,对 多 媒体 数据 经 过 有 意 或 无 意 的 操 
作 后 ,数字 水 印 仍 能 保持 完整 性 并 能 被 鉴别 出 来 。 这 些 操作 包括 所 有 可 能 的 信号 处 理 , 如 加 
人 信号、 滤波 、 剪 切 、 编 码 , 也 包括 所 有 未 经 授权 的 恶意 攻击 。 这 是 版 权 保护 的 一 项 关键 
特征 。 

(3) 安全 性 : 未 授权 者 不 能 伪造 水 印 或 检测 出 水 印 。 密 码 技术 对 水 印 的 嵌入 过 程 进行 
置 乱 加 强 安全 性 ,从 而 避免 没有 密 钥 的 使 用 者 恢复 和 修改 水 印 。 

(4) 易 用 性 : 指 水 印 的 嵌入 和 提取 算法 是 否 简单 易 用 ,主要 指 水 印 嵌 入 算法 和 水 印 提 
取 算 法 的 实用 性 和 执行 效率 等 。 


7.2.3 数字 水 印 算法 


近年 来 ,数字 水 印 技术 研究 取得 了 很 大 的 进步 .出现 了 许多 优秀 的 数字 水 印 算法 ,特别 
是 针对 图 像 数据 以 及 音 视 频数 据 。 

1. 面向 文本 的 水 印 算法 

纯 文本 文档 指 ASCII 码 文档 或 计算 机 源 代 码 文档 。 这 样 的 文档 没有 格式 信息 ,编辑 简 
单 , 使 用 方便 ,但 是 因为 这 种 类 型 的 文档 不 存在 可 插入 标记 的 可 辨认 空间 ,很 难 嵌入 秘密 信 
息 , 需 要 保护 和 认证 的 正式 文档 很 少 采 用 纯 文本 格式 。 格 式 化 的 文档 一 般 指 除了 文本 信息 
之 外 ,有 很 多 用 来 标记 文字 格式 和 版 面 布局 的 宛 余 信息 ,如 Word 文件 .PDF 文件 等 。 对 于 
这 类 文档 ,可 以 把 水 印信 息 嵌 和 到 这 类 文档 的 格式 化 编排 中 ,如 行 间距 、 字 间距 字体、 文字 
大 小 和 颜色 等 不 足以 被 人 了 眼 发 现 的 微小 变化 都 可 以 用 来 进行 信息 的 隐藏 。 常 见 的 方法 
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如 下 。 

(1) 基于 文档 结构 征调 的 文本 水 印 算法 ,主要 指 通过 对 文本 文档 空间 域 的 变换 来 嵌入 
数据 ; 文档 的 空间 域 不 仅 包 括 文 本 的 字符 、 行 .段落 的 结构 布局 ,也 包括 了 字符 的 形状 和 
颜色 。 

(2) 基于 语法 的 文本 水 印 算法 ,这 类 算法 是 在 语法 规则 基础 上 建立 起 来 的 ,主要 有 两 
类 : 一 类 是 按照 语法 规则 对 载体 文本 中 的 词汇 进行 蔡 换 来 隐藏 水 印信 息 , 另 一 类 是 按照 语 
法 规则 对 载体 文本 中 的 标点 符号 进行 修改 来 隐藏 水 印信 息 。 

(3) 基于 语义 的 文本 水 印 算法 ,这 类 算法 的 基本 原理 是 将 一 段 正常 的 语言 文字 修改 为 
包含 特定 词汇 的 语言 文字 ,在 这 个 修改 过 程 中 水 印信 息 被 徐 和 人 到 文本 内 。 

(4) 基于 汉字 特点 的 文本 水 印 算法 。 和 英文 相 比 ,汉字 是 一 种 颇具 特色 的 文字 ,其 结构 
独特 ,字符 多 样 ,因此 中 文 文本 中 可 插入 标记 的 可 辨认 空间 较 大 。 

2. 面向 图 像 的 水 印 算法 

空域 数字 图 像 水 印 算法 主要 是 在 图 像 的 像素 上 直接 进行 的 ,通过 修改 图 像 的 像素 值 骨 
和 数字 水 印 。 经 典 的 最 低 有 效 位 (Least Significant Bits,LSB) 空 域 水 印 算法 是 以 人 类 视觉 
系统 不 易 感 知 为 准则 ,在 原始 载体 数据 的 最 不 重要 的 位 置 上 财 入 数字 水 印信 息 。 该 算法 的 
优势 是 可 肯 入 的 水 印 容量 大 ,不 足 是 嵌入 的 水 印信 息 很 容易 被 移 除 。 

变换 域 数字 水 印 算法 是 在 图 像 的 变换 域 进行 水 印 租 入 的 ,将 原始 图 像 经 过 正 交 变换 ,将 
水 印 岩 入 到 图 像 的 变换 系数 中 去 。 常 用 的 变换 有 离散 傅 里 叶 变 换 (Discrete Fourier 
Transform,DFT)、 离 散 余 弦 变 换 (Discrete Cosine Transform, DCT )、 离 散 小 波 变 换 
(Discrete Wavelet Transform,DWT) 等 。 

3. 面向 音 视 频 的 水 印 算法 

根据 音频 水 印 载体 类 型 ,音频 水 印 技术 可 分 为 基于 原始 音频 和 基于 压缩 音频 两 种 。 基 
于 原始 音频 方法 是 在 未 经 编码 压缩 的 音频 信号 中 直接 嵌入 水 印 。 基 于 压缩 音频 方法 指 音频 
信号 在 斥 缩 编码 过 程 中 戏 和 人 水印 信息 ,输出 的 是 含水 印 的 压缩 编码 的 音频 信和 号 。 

视频 可 以 认为 是 由 一 系列 连续 的 静止 图 像 在 时 间 域 上 构成 的 序列 ,因此 视频 水 印 技 术 
与 图 像 水 印 技术 在 应 用 模式 和 设计 方案 上 具有 相似 之 处 。 数 字 视 频 水 印 主 要 包括 基于 原始 
视频 的 水 印 .基于 视频 编码 的 水 印 和 基于 压缩 视频 的 水 印 。 

4. NEC 算法 

NEC 算法 是 由 NEC 实验 室 的 Cox 等 人 提出 的 ,在 数字 水 印 算法 中 占有 重要 地 位 。 
Cox 认为 水 印信 号 应 该 租 入 到 那些 人 感觉 最 敏感 的 源 数据 部 分 ,在 频谱 空间 中 ,这 些 重要 部 
分 就 是 低频 分 量 。 这 样 ,攻击 者 在 破坏 水 印 的 过 程 中 ,不 可 避免 地 会 引起 图 像 质量 的 严重 下 
降 。 水 印信 号 应 该 由 具有 高 斯 分 布 的 独立 同 分 布 随机 实数 序列 构成 。 这 使 得 水 印 抵抗 多 复 
制 联合 攻击 的 能 力 大 大 增强 。NEC 算法 具有 较 强 的 鲁 棒 性 、 安 全 性 、 透 明 性 等 。 

5. 生理 模型 算法 

人 的 生理 模型 包括 人 类 视觉 系统 (Human Visual System, HVS) 和 人 类 听觉 系统 
(Human Auditory System,HAS) 等 。 生 理 模 型 算法 的 基本 思想 是 利用 人 类 视觉 的 掩蔽 现 
象 ,从 HVS 模型 导出 可 觉察 差异 (Just Noticeable Difference,JND) ,利用 JND 描述 来 确定 
图 像 的 各 个 部 分 所 能 容忍 的 数字 水 印信 号 的 最 大 强度 。 人 类 视觉 对 物体 的 亮度 和 纹理 具有 
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不 同 程度 的 感知 性 ,可 以 调节 嵌入 水 印信 号 的 强度 。 
7.3 内 容 监 管 


内 容 监管 是 内 容 安全 的 另 一 重要 方面 ,如 果 监 管 不 善 ,会 对 社会 造成 极 大 的 影响 ,其 重 
要 性 不 言 而 喻 。 内 容 监 管 涉 及 很 多 领域 ,其 中 基于 网 络 的 信息 已 经 成 为 内 容 监管 的 首要 目 
标 。 一 般 来 说 ,病毒 木马 色情、 政教 .严重 的 虚假 欺骗 以 及 垃圾 邮件 等 有 害 的 网 络 信息 都 
需要 进行 监管 。 


7.3.1 网 络 信息 内 容 过 滤 


内 容 监管 首先 需要 解决 的 就 是 如 何 制 定 监 管 的 总 体 策略 ,总 体 策略 主要 包括 监管 的 对 
象 监 管 的 内 容 、 对 违规 内 容 如 何 处 理 等 。 首 先 如 何 界定 违规 内 容 ( 那 些 需 要 禁止 的 信息 )， 
既 能 够 禁止 违规 内 容 ,又 不 会 路 及 合法 应 用 。 其 次 对 于 可 能 存在 违规 信息 的 网 站 如 何 处 理 ， 
一 种 方法 是 通过 防火 墙 禁止 对 该 网 站 的 全 部 访问 ,这 样 比较 安全 ,但 也 会 禁止 掉 其 他 有 用 内 
容 ; 另 一 种 方法 是 允许 网 站 部 分 访问 ,只 是 对 那些 有 害 网 页 信息 进行 拦截 ,但 此 种 方法 存在 
拦截 失败 的 可 能 性 。 

如 图 7-4 所 示 ,内 容 监管 系统 模型 可 以 被 分 为 监管 策略 和 监管 处 理 两 部 分 。 监 管 策略 
主要 是 指 依据 监管 需求 制定 的 规则 及 规范 ,具体 体现 在 内 容 监管 系统 的 设计 中 ,一般 包括 数 
据 获取 策略 敏感 内 容 定义 、. 违 规定 义 以 及 处 理 策略 等 ; 监管 处 理 主要 指 依据 监管 需求 设计 
的 对 相关 数据 进行 检查 及 联动 处 理 的 程序 模块 ,一 般 包括 数据 获取 ,数据 调整 、 敏 感 信息 搜 
索 .违规 判定 以 及 违规 处 理 等 。 


二 了 定义 
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图 7-4 内 容 监管 系统 模型 


1. 内 容 监 管 策略 

内 容 监管 需求 是 制定 内 容 监管 策略 的 依据 ,内 容 监管 策略 是 内 容 监管 需求 的 形式 化 表 
示 。 数 据 获取 策略 主要 确定 监管 对 象 的 范围 .采用 何 种 方式 获取 需要 检测 的 数据 ; 敏感 特 
征 定义 是 指 用 于 判断 网 络 信息 内 容 是 否 违规 的 特征 值 ,如 敏感 字符 串 ` 图 片 等 ; 违规 定义 
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是 指 依据 网 络 信息 内 容 中 包含 敏感 特征 值 的 情况 判断 是 否 违规 的 规则 ; 违规 处 理 策略 是 
指 对 于 违规 载体 (网 站 或 网 络 连接 ) 的 处 理 方法 ,如 禁止 对 该 网 站 的 访问 、 拦 截 有 关 网 络 
连接 等 。 

2. 数据 获取 

数据 获取 技术 分 为 主动 式 和 被 动 式 两 种 形式 。 主 动 式 数据 获取 是 指 通过 访问 有 关 网 络 
连接 而 获得 其 数据 内 容 , 网 络 怜 虫 是 典型 的 主动 式 数据 获取 技术 ,如 图 7-5 所 示 , 网 络 疏 虫 
实际 上 就 是 一 个 网 页 自动 提取 的 程序 。 
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图 7-5 网 络 息 虫 示 意 


网 络 疏 虫 的 基本 工作 原理 是 ,首先 选取 一 部 分 精心 挑选 的 种 子 URL; 将 这 些 URL 放 
入 待 抓 取 URL 队列 ; 从 待 抓 取 URL 队列 中 取出 待 抓 取 的 URL, 解 析 DNS, 并 且 得 到 主机 
的 IP, 并 将 URL 对 应 的 网 页 下 载 下 来 ,存储 进 已 下 载 网 页 库 中 ,此 外 将 这 些 URL 放 进 已 抓 
取 URL 队列 ; 分 析 已 抓 取 URL 队列 中 的 URL, 分 析 其 中 的 其 他 URL, 并 且 将 URL 放 入 
待 抓 取 URL 队列 ,从 而 进入 下 一 个 循环 。 

被 动 式 数据 获取 是 指 在 网 络 的 特定 位 置 设置 探 针 ,获取 流 经 该 位 置 的 所 有 数据 。 被 动 
式 数据 获取 主要 解决 两 个 方面 的 问题 : 探 针 位 置 的 选择 ,对 出 和 数据 报 文 的 采集 。 数 据 调 
整 主要 指针 对 数据 获取 模块 (主要 是 协议 栈 ) 提 交 的 应 用 层 数 据 进行 筛选 组合、 解码 以 及 文 
本 还 原 等 工作 ,数据 调整 的 输出 结果 用 于 敏感 特征 搜索 等 。 敏 感 特征 搜索 实际 上 就 是 依据 
事先 定义 好 的 敏感 特征 策略 ,在 待 查 内 容 中 识别 所 包含 的 敏感 特征 值 ,搜索 的 结果 可 以 作为 
违规 判定 的 依据 。 敏 感 特征 值 可 以 是 文本 字符 串 、 图 像 特征 .音频 特征 等 ,它们 分 别 用 于 不 
同 信息 载体 的 内 容 的 敏感 特征 识别 。 目 前 基于 文本 内 容 的 识别 已 经 比较 成 熟 并 达到 可 实用 
化 ,而 图 像 音 频 特 征 的 识别 还 存在 着 一 些 问 题 ,如 识别 率 较 低 、 误 报 率 较 高 等 ,难以 实现 全 
面 有 效 的 程序 自动 监管 ,更 多 时 候 需 要 人 的 介入 。 

违规 判定 程序 的 设计 思想 是 将 敏感 特征 搜索 结果 与 违规 定义 相 比 较 , 判 断 该 网 络 信息 
内 容 是 否 违规 。 违 规定 义 是 说 明 违 规 内 容 应 具有 的 特征 , 即 敏感 特征 。 每 个 敏感 特征 由 敏 
感 特 征 值 和 特征 值 敏感 度 ( 某 特征 值 对 违规 的 影响 程度 ,也 可 以 看 做 权重 ) 两 个 属性 来 描述 。 
敏感 特征 的 搜索 结果 具有 敏感 特征 值 的 广度 (包含 相 异 敏感 特征 值 的 数量 ) 和 敏感 特征 值 的 
深度 (包含 同一 个 特征 值 的 数量 ) 两 个 指标 。 违 规 处 理 目前 主要 采用 的 方法 与 人 侵 检 测 相 
似 ,报警 就 是 通知 有 关 人 员 违 规 事件 的 具体 情况 ,封锁 IP 一 般 是 指 利用 防火 墙 等 网 络 设备 
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阻 断 对 有 关 IP 地 址 的 访问 ,而 拦截 连接 则 是 针对 某 个 特定 访问 连接 实施 阻 断 ,向 通信 双方 
发 送 RST 数据 包 阻 断 TCP 连接 就 是 常用 的 拦截 方法 。 


7.3.2 垃圾 邮件 处 理 


垃圾 邮件 (Spam) 现 在 还 没有 一 个 非常 严格 的 定义 ,一般 来 说 ,凡是 未 经 用 户 许 可 (与 用 
户 无 关 ) 就 强行 发 送 到 用 户 的 邮箱 中 的 任何 电子 邮件 就 称 为 垃圾 邮件 。 

目前 主要 采用 的 技术 有 过 滤 、 验 证 查询 和 挑战 。 过 滤 (Filter) 技 术 是 相对 来 说 最 简单 、 
又 最 直接 的 垃圾 邮件 处 理 技术 ,主要 用 于 邮件 接收 系统 来 辨别 和 处 理 垃圾 邮件 。 验 证 查询 
技术 主要 指 通过 密码 验证 及 查询 等 方法 来 判断 邮件 是 否 为 垃圾 邮件 ,包括 反 向 查询 、 雅 虎 的 
DKIM(Domain Keys Identified Mail) 技术 、 Microsoft 的 SenderID 技术 、IBM 的 FairUCE 
(Fair use of Unsolicited Commercial E-mail) 技术 以 及 邮件 指纹 技术 等 。 基 于 挑战 的 反 垃 
圾 技术 是 指 通过 延缓 邮件 处 理 过 程 ,来 阻碍 发 送 大 量 邮件 。 

反 垃 圾 邮件 系统 是 设置 在 企业 邮件 系统 服务 器 之 前 的 阻挡 垃圾 邮件 进入 邮件 系统 的 一 
套装 置 或 者 设备 。 该 设备 接收 所 有 进入 到 企业 内 部 的 邮件 ,对 邮件 进行 处 理 , 让 良性 邮件 
进入 企业 邮件 服务 器 。 反 垃圾 邮件 系统 建立 在 基于 Linux 或 者 BSD 的 加 固 的 操作 系统 
之 上 ,也 有 个 别 厂商 基于 其 他 操作 系统 制作 解决 方案 。 硬 件 的 形式 及 加 固 操作 系统 使 垃 
圾 邮件 防火 墙 更 加 不 容易 被 黑客 等 攻击 。 一 个 良好 的 反 垃 圾 邮件 系统 不 仅 可 以 阻 断 垃 
圾 邮件 ,而 且 可 以 保护 邮件 服务 器 不 受 其 他 形式 的 攻击 。 图 7-6 为 一 个 典型 的 反 垃 圾 邮 
件 系 统 。 
服务 呈 站 上 要 这 | 基于 | BE BR 


邮件 POP3 协 议 
客户 端 上 三 中 收 信 


未 命中 


正常 
邮件 


网 络 湖 量 上 协议 还 原 


垃圾 
邮件 


图 7-6 典型 的 反 垃圾 邮件 系统 


垃圾 邮件 发 送 的 商业 模型 是 大 规模 地 发 出 同样 的 邮件 ,通常 几 天 或 者 几 周 内 甚至 儿 个 
月 内 发 送 数 以 百 万 计 的 邮件 ,这 些 邮 件 虽 然 可 能 在 细微 处 有 所 变化 ,但 是 通过 特定 的 算法 ， 
却 可 以 将 这 些 邮件 的 共同 特征 提取 出 来 。 为 此 , 反 垃 圾 邮件 网 关 厂 家 设置 了 大 量 “ 蜜 饶 ”, 或 
者 说 诱骗 邮件 地 址 ,是 用 于 收集 大 量 的 垃圾 邮件 。 再 依靠 特定 的 算法 ,将 这 些 邮件 的 共同 特 
征 一 一 邮件 指纹 提取 出 来 , 存 人 邮件 指纹 库 。 反 垃圾 邮件 网 关 厂 家 收 到 邮件 后 ,发 送 相关 的 
信息 到 远程 的 邮件 指纹 数据 库 中 进行 核对 ,从 而 迅速 地 确认 这 封 邮件 是 否 垃圾 。 这 种 指纹 
分 析 的 方法 和 当前 反 病 毒 体 系 中 病毒 特征 码 的 原理 是 一 样 的 。 在 面 对 一 些 最 新 出 现 的 或 罕 
见 的 垃圾 邮件 时 , 它 没有 多 大 效用 。 但 是 对 于 那些 大 量 发 送 的 相同 的 垃圾 邮件 ,这 种 方法 却 
具有 最 高 的 效率 。 而 且 这 种 方法 几乎 不 会 产生 误 判 。 

垃圾 邮件 技术 如 今 变 得 愈加 复杂 ,许多 垃圾 邮件 变 得 与 正常 的 邮件 几乎 一 样 ,在 这 些 邮 
件 中 含有 URL 链接 ,这 个 链接 往往 指向 一 些 不 健康 的 网 站 ,或 某 个 商品 促销 的 网 站 。 反 垃 
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圾 邮件 网 关 厂 家 为 此 创建 了 意图 分 析 技术 ,构建 了 垃圾 邮件 URLS 地 址 数据 库 。 它 检查 邮 
件 中 的 URL 链接 ,确定 邮件 是 否 垃圾 邮件 。 

贝 叶 斯 分 析 采 用 过 去 事件 的 知识 预测 未 来 事件 。 应 用 到 反 垃 圾 邮件 领域 , 贝 叶 斯 过 滤 
与 以 前 收 到 的 垃圾 邮件 与 合法 邮件 中 的 相同 词语 与 短语 出 现 的 频率 对 比 此 邮件 中 有 问题 的 
词语 与 短语 ,来 确定 垃圾 邮件 的 可 能 性 。 它 能 自动 适应 垃圾 邮件 变化 ,是 一 种 动态 的 智能 过 
滤 技 术 。 贝 叶 斯 过 滤 技 术 , 它 采用 了 全 新 的 分 词 技术 ,同时 支持 单字 节 和 双 字 节 语 种 ,需要 
学 习 的 样本 数量 更 少 。 贝 叶 斯 能 保 正 系统 始终 具有 较 高 的 过 滤 率 ,其 他 的 过 滤 技 术 是 一 种 
静态 的 技术 ,依赖 于 规则 库 或 特征 库 的 更 新 。 而 贝 叶 斯 是 智能 的 技术 , 它 能 自动 学 习 新 的 垃 
圾 邮件 ,调整 自己 的 字 词 频 度 表 , 使 得 系统 始终 维持 较 高 的 过 滤 水 准 。 采 用 了 分 用 户 贝 叶 斯 
后 ,使 得 不 同 邮件 用 户 个 性 化 的 需求 得 以 真正 的 实现 。 一 般 反 垃圾 邮件 分 用 户 个 性 化 设置 
仅 限于 个 人 黑白 名 单 。 无 法 满足 不 同 用 户 对 邮件 的 不 同 偏好 ,然而 用 户 通 过 调整 培训 自己 
的 分 用 户 贝 叶 斯 数据 库 , 就 可 以 简单 地 实现 这 一 功能 。 

基于 规则 的 评分 系统 也 被 称 为 人 工 智能 (AD 系统 ,每 一 条 规则 对 应 一 定 的 评分 ,一 封 
邮件 与 规则 库 进行 比较 ,每 符合 一 条 规则 加 上 该 规则 评分 ,获得 的 分 数 越 高 ,该 邮件 是 垃圾 
邮件 的 可 能 性 就 越 高 。 如 果 一 封 邮件 超过 一 定 得 分 门槛 ( 阅 值 ) ,该 邮件 将 被 分 类 为 垃圾 邮 
件 。 在 这 些 规则 中 ,可 以 用 来 识别 变化 的 词语 或 短语 ,例如 垃圾 邮件 引擎 侦 测 到 变化 型 文 
字 , 垃 圾 邮件 引擎 会 自动 回复 到 原先 的 字 词 .例如 V.I A. G.R.A 回复 为 VIAGRA。 这 些 
规则 不 仅 包括 语义 分 析 , 还 包括 对 垃圾 邮件 发 送 工 具 的 检测 、 对 邮件 中 含有 图 片 形态 和 比重 
的 检测 ,HTML 格式 的 各 种 特征 规则 等 。 通 过 对 一 封 邮件 所 有 相关 的 信息 都 进行 相关 的 智 
能 分 析 , 最 终 能 够 准确 地 判定 一 封 邮件 是 否 为 垃圾 邮件 。 


7.4 实 训 


召 训 ”数字 水 印 软件 应 用 

实 训 目的 : 图 片 水 印 制 作 , 视 频 水 印 制 作 , 音 频 水 印 制 作 。 

实 训 准备 : 

Photo Watermark Professional 是 一 款 非常 专业 的 水 印 制 作 软 件 , 操 作 方法 比较 简单 ， 
支持 批量 操作 ,可 以 使 用 文本 、 图 片 的 混合 来 设计 水 印 。 自 动 对 象 可 以 从 图 片 中 提取 出 不 同 
的 exif 数据 ,多 级 透明 设置 ,并 支持 jpeg tiff\bmp gif\png 多 种 格式 输出 。 

VidLogo 是 一 款 视频 Logo 编辑 工具 。 它 可 以 修改 视频 Logo 文件 ,为 视频 添加 Logo 
或 水 印 等 ,支持 作为 水 印 的 图 像 格式 有 BMP、JPEG GIF ,还 可 以 使 用 AVI 文件 。 能 够 给 
AVI ASF`WMV 、DivX、Xvid、3ivx、MP4 格式 的 视频 添加 水 印 。 

实 训 内 容 : 

1. Photo Watermark Professional 图 片 水 印 制作 

(1) 运行 Photo Watermark Professional V7.0.5.2, 界 面 如 图 7-7 所 示 。 

(2) 打开 需要 加 入 水 印 的 图 片 文件 并 添加 三 个 水 印 : 一 个 时 间 、 两 个 文本 。 其 中 第 二 
个 文本 水 印 通 过 右上 角 “ 文 本 编辑 器 "输入 内 容 , 如 图 7-8 所 示 。 


第 7 章 信息 内 容 安全 213 


一 般 尾 性 


县 动 完 必 


天 小 Gj -| 不 通 度 玉 


| 水印 文件 | 水 印 | 图像 司 性 
ITII 


Autocad2004mini 
递归 刷新 | 


B00x450 -> 600x450 C:\Documents and Settings\Administrator\My Documents 


图 7-7 PhotoWatermark Professional 运行 界面 


轻松 水 印 考 业 版 - C:\Documents and Settings\Administrator\y Documents\ly Pictures 
圈 批 量 水 印 "网 光 | 阶 合 辐 其 苞 -多 |T 广 本 -国力 款 - | @ 屋 性 | 门 装 希 框 | 〇 水 印 库 | 选项 ”帮助 ~ | 回 退 出 | 无 时 间 限 . 
一 般 尾 性 四 字体 按 纺 | | 草 充 | [ 位置 “| | 移动 -| 文本 篇 多 器 |e -| 括 入 “| 于 | 
|[ 自动 宽度 。 |[v] 自动 高 度 | [Tshons -J30 “|-| 不 得 度 [a0 |-| 不 适度 [I Shanghal Institute of Electronics an 
大 小 多 | 0]"| 不 进度 [i100 "| | 额 色 -| 不 进度 90 J- 宽度 | 0 向 [| 0 品 呈 
加 P01] LIrTYTST 办 详 "| 额 色 -|| 起 色 -) [IDID 
| 文件 夹 | 输出 | 如 何 做 | 水 印 交 件 | 水 印 | 图 便 必 性 


点 面 [ / -| 国 |- 凤 3 
日- 图 我 89 文档 DT 一 [wl¥ IS-|X| 
BY autocad2004mini 有 苇 这 5 09:46:57 
BB Cookies 格式 ; {FILE|Today|yyyy-mm-dd hh:n, 
® BY IEEE & ELSEVIER 3 种 类 ; 文字 
BY movies 上 ER 格式 后 ; Enter your text 
由 BD My Watermarks 有 / 上 格式 : Enter your text 
BrP 4 
B stom 
BB wmwb 
局 解 窑 工具 和 水 印 软件 
局 入 侵 检 测 文章 
由 - 宽 收藏 严 
国 图 片 改 箔 
文件 门 着 归 刷新 | 门 ] 风景 画 门 正方 画 门 肖像画 | 打 名 所有 都 不 打针 打 色 相反 的 打 多 选中 的 | 文件 类 型 | 所 有 图 乔 文 件 (* jpg:* jpeg:+. | 
ER 
B00x450 -> B00x450 | C:\Documents and Settings\Administrator\My Documents .; 


图 7-8 在 图 片 中 添加 时 间 和 文本 


(3) 若 要 隐藏 某 个 水 印 对 象 .可 通过 将 左上 角 "* 一 般 属性 ”中 * 不 透 度 "属性 值 设置 为 0， 
如 图 7-9 的 时 间 水 印 设置 成 不 可 见 水 印 。 


214 信息 安全 基础 


轻松 水 印 专业 版 \Docunents and Settings\Adninistrator\y DocuaentsVEy Pictures 
了 装 财 椎 | 〇 ) 水印 库 “选项 - 帮助 -| 回 退出 | 无 时 间 限 _- 
办 要 -于 


BD autocadz2004mini 
© Cookes 
由 . 回 IEEE &ELSEVIER 


回 moves 
由 回 My Watermarks 


种 类 ;文字 
一 一 一 格式 后 ; Shanghai Institute of Electro,,， 

格式 ; Shanghal Instiute of Electronic,， 

局 解 客 工 具 和 水 印 欢 件 

局 入 侵 检测 文章 

由 窗 收藏 严 
二 图片 风光 _ 一 | 一 一 一 
文件 门 递归 刷新 | 站 风景 画 门 ] 正方 画 三 ] 肖像 画 | 亲 名 所 有 有 都 不 打包 打 色 相反 的 ” 打 色 选中 的 | 文件 类 型 所: 文件 (4. jpgiw jpeg: 了 | 


600x450 -> 600x450 | C:\Documents and Settings\Administrator\My Documenks 


图 7-9 将 时 间 一 般 属性 中 不 透明 参数 设置 为 0 
(4) 文本 水 印 格式 常用 凸 文 . 凹 文 .阴影 等 ,图 像 水 印 常 从 “编辑 菜单 下 进行 设置 “图 
像 特效 "中 的 特效 是 最 常用 的 工具 。Photo Watermark 支持 多 水 印 操作 。 选 择 “ 文 件 ” 一 “ 保 
存 ” 或 “批量 加 水 印 ” 命 令 , 水 印 制 作 就 完成 了 。 
2. VidLogo 视频 水 印 制 作 
(1) 运行 VidLogo, 界 面 如 图 7-10 所 示 。 


©® jb GO 


Input | 
Select video file, video and audio settings 
and set logo file 


Output 


Type © Windows media video (*,wmwv or *.asf) 


OMpEG fle (*,mpg or * .mpeg) 


OO windows AvI file (*,avi) 


图 7-10 VidLogo 运行 界面 
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(2) 单 击 Edit Logo 按钮 ,在 弹出 的 界面 中 选择 用 做 水 印 的 图 像 或 视频 ,调整 大 小 以 及 
放置 的 位 置 ,确定 后 , 回 到 开始 界面 :然后 单 击 Start 按钮 ,该 视频 中 便 加 入 了 水 印信 息 , 如 
图 7-11 和 图 7-12 所 示 。 对 于 图 片 水 印 ,还 可 以 通过 Pick Color 设置 透明 色 。 


和 YidLogo 国 | 


@@ jb 多 bP 信 加 


Input |C:\Documents and Settings\Administrator\My Docu [ py 


选择 宿主 视频 文件 


Preview 


Video: WMY2, 320x240, 25.000 fps 
Total duration: 5903,1 sec 


Output [C:\Documents and Settings\Administraton\ 桌 面 \11| | ,,. 


Type ”加 windows media video (+,wmv or *.asf) 


OMPEG file (*.mpg or*y,mpeg) 


O 〇 wndows avifie Gt.avi) | 含水 印 宿主 文件 保 
存 路 径 和 文件 名 


两 个 水 印 


| Video settings Audio settings 


10:49:11 


Ready 


图 7-11 选择 宿主 视频 及 保存 路 径 


Current progress: 


图 7-12 视频 制作 进程 


3. DRM 音频 水 印 制作 
音频 加 水 印 其 实质 就 是 在 现 有 音乐 源 信 息 内 嵌入 数据 信息 ,包括 版 权 方面 的 信息 , 比 
如 国际 标准 记录 码 、 用 户 ID、 使 用 守则 和 其 他 特许 权 的 跟踪 信息 。 

对 音频 水 印 的 制作 可 以 用 “DRM 音频 视频 加 密 器 ”软件 ,DRM 的 英文 全 称 为 Digital 
Right Management ,是 指数 字 版 权 管理 。 该 软件 制作 的 水 印 可 以 防止 对 这 些 信息 的 非法 复 
制 和 压缩 ,因为 在 声音 的 低频 系统 加 入 水 印信 息 对 原始 数据 的 影响 很 小 ,两 者 在 听觉 的 差别 
基本 分 辨 不 出 来 , 却 为 打击 盗版 提供 了 有 力 的 证 据 。 

“DRM 音频 视频 加 密 器 ”软件 试用 版 的 界面 如 图 7-13 所 示 。 
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“ DRE 沪 媒体 加 室 器 3- 5 
系统 技术 克 持 
单个 文 牢 加 密 i 目录 批量 加 密 穆 钥 与 认证 


三 指定 需要 加 密 的 流 媒体 源 文件 


源 文 件 [|C\Documents and Settings\Admnistrator\My D 


文件 编号 呵 以 为 空 ] 


色 出 目录 上、 


加 出 文件 所 缠 fn] 


图 7-13 DRM 音频 视频 加 密 器 界面 


第 8 章 云 计 算 与 云 安全 


云 计算 (Cloud Computing) 是 基于 互联 网 的 相关 服务 的 增加 、 使 用 和 交付 模式 ,通常 涉 
及 通过 互联 网 来 提供 动态 易 扩展 且 经 常 是 虚拟 化 的 资源 。 云 计算 是 一 种 按 使 用 量 付费 的 模 
式 , 这 种 模式 提供 可 用 的 ,便捷 的 、 按 需 的 网 络 访问 ,进入 可 配置 的 计算 资源 共享 池 ( 资 源 包 
括 网 络 、 服 务 器 、 存 储 、 应 用 软件 和 服务 ) ,这 些 资源 能 够 被 快速 提供 ,只 需 投 入 很 少 的 管理 工 
作 , 或 与 服务 供应 商 进行 很 少 的 交互 。 云 计算 是 一 种 商业 计算 模型 , 它 将 计算 任务 分 布 在 大 
量 计算 机 构成 的 资源 池上 ,使 各 种 应 用 系统 能 够 根据 需要 获取 计算 力 、 存 储 空 间 和 信息 
服务 。 


8.1 云 计算 概述 


2006 年 8 月 9 日 ,Google 首席 执行 官 埃 里 克 … 施 密 特 (Eric Schmidt) 在 搜索 引擎 大 会 
(SES San Jose 2006) 上 首次 提出 云 计 算 (Cloud Computing) 的 概念 。Google 云端 计算 源 于 
Google 工程 师 克 里 斯 托 弗 ， 比 希 利 亚 所 做 的 Google 101 项 目 。 

2007 年 10 月 ,Google 与 IBM 开始 在 美国 大 学 校园 ,包括 卡 内 基 梅 隆 大 学 、 麻 省 理工 学 
院 、 斯 坦 福 大 学 、 加 州 大 学 伯克利 分 校 及 马里 兰 大 学 等 ,推广 云 计算 的 计划 ,这 项 计划 希望 能 
降低 分 布 式 计算 技术 在 学 术 研 究 方 面 的 成 本 ,并 为 这 些 大 学 提供 相关 的 软 硬 件 设备 及 技术 
支持 (包括 数 百 台 个 人 计算 机 及 BladeCenter 与 System x 服务 器 ,这 些 计算 平台 将 提供 
1600 个 处 理 器 ,支持 包括 Linux、Xen、Hadoop 等 开放 源 代 码 平 台 )。 而 学 生 则 可 以 通过 网 
络 开发 各 项 以 大 规模 计算 为 基础 的 研究 计划 。 

2008 年 1 月 30 日 ,Google 宣 布 在 台湾 启动 “ 云 计 算 学 术 计 划 ”, 将 与 台湾 台大 、 交 大 等 
学 校 合 作 ,将 这 种 先进 的 大 规模 、 快 速 云 计算 技术 推广 到 校园 。 

云 计 算 的 基本 组 成 如 图 8-1 所 示 。 


ALikely Scenario TAGG 
sns 全 
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人 SI -1 
图 8-1 云 计算 的 组 成 
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云 计 算 主要 经 历 了 四 个 阶段 ,依次 是 电厂 模式 、 效 用 计算 、 网 格 计 算 和 云 计 算 。 

电厂 模式 阶段 : 电厂 模式 就 好 比 是 利用 电厂 的 规模 效应 ,来 降低 电力 的 价格 ,并 让 用 户 
使 用 起 来 更 方便 , 且 无 须 维护 和 购买 任何 发 电 设备 。 

效用 计算 阶段 : 在 1960 年 前 后 ,当时 计算 设备 的 价格 是 非常 高 昂 的 , 远 非 普通 企业 、 学 
校 和 机 构 所 能 承受 ,所 以 很 多 人 产生 了 共享 计算 资源 的 想法 。1961 年 ,人 工 智能 之 父 麦 肯 
锡 在 一 次 会 议 上 提出 了 “效用 计算 "这 个 概念 ,其 核心 借鉴 了 电厂 模式 ,具体 目标 是 整合 分 散 
在 各 地 的 服务 器 、 存 储 系统 以 及 应 用 程序 来 共享 给 多 个 用 户 , 让 用 户 能 够 像 把 灯泡 插入 灯 座 
一 样 来 使 用 计算 机 资源 ,并 且 根 据 其 所 使 用 的 量 来 付费 。 但 由 于 当时 整个 IT 产业 还 处 于 
发 展 初期 ,很 多 强大 的 技术 还 未 诞生 ,比如 互联 网 等 ,所 以 虽然 这 个 想法 一 直 为 人 称道 ,但 是 
总 体 而 言 “叫好 不 叫座 ”。 

网 格 计 算 阶 段 : 网 格 计算 研究 如 何 把 一 个 需要 非常 巨大 的 计算 能 力 才能 解决 的 问题 分 
成 许多 小 的 部 分 ,然后 把 这 些 部 分 分 配给 许多 低 性 能 的 计算 机 来 处 理 , 最 后 把 这 些 计算 结果 
综合 起 来 攻克 大 问题 。 可 异 的 是 ,由 于 网 格 计算 在 商业 模式 、 技 术 和 安全 性 方面 的 不 足 , 使 
得 其 并 没有 在 工程 界 和 商业 界 取 得 预期 的 成 功 。 

云 计算 阶段 : 云 计 算 的 核心 与 效用 计算 和 网 格 计算 非常 类 似 ,也 是 希望 IT 技术 能 像 使 
用 电力 那样 方便 ,并 且 成 本 低廉 。 但 与 效用 计算 和 网 格 计算 不 同 的 是 ,现在 在 需求 方面 已 经 
有 了 一 定 的 规模 ,同时 在 技术 方面 也 已 经 基本 成 熟 了 。 云 计算 的 概念 模型 如 图 8-2 所 示 。 


而 和 机 :8 


各 类 用 户 : 企业 、 政 府 、 学 术 机 构 、 个 人 等 


SIEVE mm 


各 种 终端 


按 量 计 费 的 商业 模型 


简化 的 服务 接口 


图 8-2 云 计 算 的 概念 模型 


云 计 算是 近 5 年 来 兴起 的 一 种 网 络 应 用 模式 ,该 应 用 的 独特 性 在 于 它 是 完全 建立 在 可 
自我 维护 和 管理 的 虚拟 资源 层 上 的 。 使 用 者 可 以 按 不 同 需求 动态 改变 需要 访问 的 资源 和 服 
务 的 种 类 和 数量 。 对 于 云 计 算 的 理解 ,分 为 狭义 和 广义 的 两 类 。 狭 义 云 计算 是 指 IT 基础 设 
施 的 交付 和 使 用 模式 ; 广义 云 计 算是 指 服务 的 交付 和 使 用 模式 。 这 种 服务 可 以 是 IT 和 软 
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件 、 互 联网 相关 的 ,也 可 以 是 任意 其 他 的 服务 , 它 具 有 超大 规模 .虚拟 化 .可 靠 安 全 等 独特 
功效 。 

1. 虚拟 化 技术 

虚拟 化 的 目的 在 于 集中 IT 管理 任务 ,简化 运 维 流程 与 降低 成 本 ,同时 改善 企业 计算 次 
源 有 效 利用 率 和 可 用 性 ,使 得 企业 更 能 够 快速 响应 商务 需求 以 及 提升 竞争 力 。 简 单 地 说 , 虚 
拟 化 就 是 改善 传统 的 一 台 物 理 服务 器 上 运行 一 个 应 用 程序 的 模式 ,让 物理 服务 器 硬件 及 网 
络 资源 能 够 被 充分 利用 的 配置 ,使 得 一 台 物理 服务 器 上 能 够 运行 多 个 互相 独立 的 虚拟 机 ,并 
执行 多 个 应 用 服务 程序 。 图 8-3 所 示 为 云 计算 模式 ,以 较 少 的 硬件 资源 实现 更 多 更 有 效率 
的 企业 服务 ,节省 总 拥有 成 本 。 虚 拟 化 可 实现 于 私有 去 .混合 云 与 共有 云 计算 平台 上 ,取决 
于 企业 服务 形态 与 需求 。 虚 拟 机 是 一 个 由 软件 实现 ,完全 隔离 的 客 操作 系统 (Guest OS)， 
运行 于 原本 的 主 操作 系统 (Host OS) 中 ,并 有 独立 的 计算 环境 。 虚 拟 机 就 像 物理 机 一 样 , 包 
含 自己 的 CPU 内存 (RAM)、 外 存 (DISK) 和 网 卡 (NIC) 等 。 虚 拟 机 完全 是 由 软件 构成 的 ， 
就 是 由 一 个 或 多 个 文件 所 组 成 ,完全 没有 硬件 组 件 。 因 此 ,虚拟 机 提供 了 企业 IT 环境 更 多 
的 弹性 与 好 处 ,尤其 是 更 快 的 服务 维护 及 部 署 和 更 简单 的 备份 管理 。 

虚拟 化 模式 传统 模式 


物理 服务 器 


图 8-3 云 计算 模式 


除了 虚拟 化 服务 器 之 外 ,更 进一步 ,IT 基础 架构 及 数据 中 心 都 可 被 虚拟 化 ,使 得 企业 可 
自动 化 整合 IT 基础 架构 ,通过 计算 资源 分 享 达到 更 有 成 本 效益 的 资源 管理 配置 ,提升 整体 
企业 运 维 的 效率 与 弹性 。 举 个 简单 的 例子 , 当 企业 在 部 署 应 用 服务 的 时 候 ,都 会 遇 到 这 个 问 
题 : 应 该 部 署 多 少 计算 资源 才能 够 满足 各 种 情况 下 的 服务 访问 ,配置 太 多 不 符合 成 本 效益 ， 
因为 80% 的 时 间 服 务 器 都 没有 被 有 效 利用 ; 配置 太 少 又 无 法 满足 在 高 峰 期 的 使 用 者 访问 ， 
造成 服务 品质 下 降 甚至 服务 中 断 。 有 了 虚拟 化 基础 架构 ,所 有 计算 资源 可 以 共享 , 当 有 需要 
时 虚拟 机 可 及 时 开启 ,自动 化 随时 调整 响应 企业 服务 需求 。IT 基础 架构 的 虚拟 化 ( 见 图 8-4) 
也 是 由 软件 来 实现 ,提供 了 一 层 系 统 架构 以 区 隔 底层 硬件 (物理 机 、 存 储 、 网 络 ) 与 虚拟 机 和 
运行 在 上 的 应 用 服务 程序 。 虚 拟 化 基础 架构 基本 上 包含 以 下 组 件 功能 : 虚拟 机 和 虚拟 机 管理 
程序 (Hypervisor); 资源 管理 ,配置 和 备份 功能 ; IT 管理 流程 自动 化 程序 ,比如 错误 复原 。 
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虚拟 机 虚拟 机 虚拟 机 
| 虚拟 架构 | 


图 8-4 VMWare 虚拟 化 基础 架构 
桌面 虚拟 化 是 把 传统 桌面 操作 系统 运行 于 远 端 中 央 服 务 器 的 虚拟 机 上 ,使 用 者 通过 现 
有 的 物理 机 或 瘦 客 户 端 从 任何 位 置 访问 桌面 ,对 于 使 用 者 来 说 就 像 用 传统 桌面 一 样 , 同 时 提 
供 了 更 多 的 方便 性 .管理 性 和 安全 防护 部 署 的 集成 。 图 8-5 所 示 为 虚拟 桌面 基础 架构 。 
2. 云 计 算 的 特点 


(1) 计算 资源 集成 ,提高 设备 计算 能 力 。 人 
云 计算 把 大 量 计算 资源 集中 到 一 个 公共 资源 二 
池 中 ,通过 多 主 租用 的 方式 共享 计算 资源 。 虽 然 全 -os | os 


单个 用 户 在 云 计算 平台 获得 服务 的 水 平 受到 网 络 
带宽 等 各 因素 影响 ,并 且 未 必 获 得 优 于 本 地 主机 
所 提供 的 服务 ,但 是 从 整个 社会 资源 的 角度 而 言 ， 
整体 的 资源 调控 降低 了 部 分 地 区 峰值 荷载 ,提高 
了 部 分 荒废 的 主机 的 运行 率 , 从 而 提高 了 资源 利 


(2) 分 布 式 数据 中 心 保证 系统 容 灾 能 力 。 
分 布 式 数据 中 心 可 将 云端 的 用 户 信息 备份 到 图 8-5 虚拟 桌面 基础 架构 
地 理 上 相互 隔离 的 数据 库 主机 中 ,甚至 用 户 自己 
也 无 法 判断 信息 的 确切 备份 地 点 。 该 特点 不 仅仅 提供 了 数据 恢复 的 依据 ,也 使 得 网 络 病毒 


和 网 络 黑客 的 攻击 失去 目的 性 而 变 成 徒劳 ,大 大 提高 系统 的 安全 性 和 容 灾 能 力 。 

(3) 软 硬 件 相互 隔离 减少 设备 依赖 性 。 

虚拟 化 层 将 云 平 台 上 方 的 应 用 软件 和 下 方 的 基础 设备 隔离 开 来 。 技 术 设备 的 维护 者 无 
法 看 到 设备 中 运行 的 具体 应 用 。 同 时 对 软件 层 的 用 户 而 言 基础 设备 层 是 透明 的 ,用 户 只 能 
看 到 虚拟 化 层 中 虚拟 出 来 的 各 类 设备 。 这 种 架构 减少 了 设备 依赖 性 ,也 为 动态 的 资源 配置 
提供 了 可 能 。 
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(4) 平台 模块 化 设计 体现 高 可 扩展 性 。 

目前 主流 的 云 计 算 平 台 均 根据 SPI 架构 在 各 层 集成 功能 各 异 的 软 硬 件 设 备 和 中 间 件 软 
件 。 大 量 中 间 件 软件 和 设备 提供 针对 该 平台 的 通用 接口 ,允许 用 户 添加 本 层 的 扩展 设备 。 
部 分 云 与 云 之 间 提 供 对 应 接口 ,允许 用 户 在 不 同 云 之 间 进 行 数据 迁移 。 类 似 功 能 更 大 程度 
上 满足 了 用 户 需求 ,集成 了 计算 资源 ,是 未 来 云 计 算 的 发 展 方向 之 一 。 

(5) 虚拟 资源 池 为 用 户 提供 弹性 服务 。 

云 平 台 管 理 软件 将 整合 的 计算 资源 根据 应 用 访问 的 具体 情况 进行 动态 调整 ,包括 增 大 
或 减少 资源 的 要 求 。 因 此 , 云 计算 对 于 非 恒定 需求 的 应 用 ,如 对 需求 波动 很 大 、 阶 段 性 需求 
等 ,具有 非常 好 的 应 用 效果 。 在 云 计算 环境 中 , 既 可 以 对 规律 性 需求 通过 事先 预测 事先 分 
配 ,也 可 根据 事先 设 定 的 规则 进行 实时 公平 调整 。 弹 性 的 云 服 务 可 帮助 用 户 在 任意 时 间 得 
到 满足 需求 的 计算 资源 。 

(6) 按 需 付费 降低 使 用 成 本 。 

作为 云 计算 的 代表 按 需 提供 服务 、 按 需 付 费 是 目前 各 类 云 计 算 服 务 中 不 可 或 缺 的 一 部 
分 。 对 用 户 而 言 , 云 计算 不 但 省 去 了 基础 设备 的 购置 运 维 费 用 ,而 且 能 根据 企业 成 长 的 需要 
不 断 扩展 订购 的 服务 ,不 断 更 换 更 加 适合 的 服务 ,提高 了 资金 的 利用 率 。 


8.2 云 计 算 服 务 


云 计算 服务 是 指 将 大 量 用 网 络 连 接 的 计算 资源 统一 管理 和 调度 ,构成 一 个 计算 资源 池 
向 用 户 按 需 服 务 。 用 户 通过 网 络 以 按 需 、 易 扩展 的 方式 获得 所 需 资 源 和 服务 。 云 计算 包括 
三 个 层次 服务 : 基础 设施 即 服务 (IaaS) 平台 即 服 务 (PaaS) 和 软件 即 服 务 (SaaS)。 所 谓 层 
次 ,是 分 层 体系 架构 意义 上 的 “层次 ”, 如 图 8-6 所 示 。 
IaaS(Infrastructure as a Service) 基 础 设施 级 


将 软件 作为 服务 服务 ,消费 者 通过 Internet 可 以 从 完善 的 计算 机 基 

Sea ower a ee 础 设施 获得 服务 。TaaS 是 把 数据 中 心 .基础 设施 
将 平台 作为 服务 等 硬件 资源 通过 Web 分 配给 用 户 的 商业 模式 。 

PaaS (Platform as a Service) PaaS(Platform as a Service) 平 台 级 服务 ,是 

指 将 软件 研发 的 平台 作为 一 种 服务 ,以 SaaS 的 模 

将 基础 设施 作为 服务 式 提交 给 用 户 。 因 此 PaaS 也 是 SaaS 模式 的 一 种 


IaaS (Infrastructure as a Service) 应 用 。 但 是 ,PaaS 的 出 现 可 以 加 快 SaaS 的 发 展 ， 
尤其 是 加 快 SaaS 应 用 的 开发 速度 。PaaS 服务 使 

本 得 软件 开发 人 员 可 以 在 不 购买 服务 器 等 设备 环境 
的 情况 下 开发 新 的 应 用 程序 。 

SaaS(Software as a Service) 软 件 级 服务 ,是 一 种 通过 Internet 提供 软件 的 模式 ,用 户 无 须 
购买 软件 ,而 是 向 提供 商 租用 基于 Web 的 软件 ,来 管理 企业 经 营 活动 。SaaS 模式 大 大 降低 了 
软件 的 使 用 成 本 和 客户 的 管理 维护 成 本 ,由 于 软件 是 托管 在 服务 商 的 服务 器 上 ,可 靠 性 也 更 高 。 

Amazon 开发 了 弹性 计算 云 (Elastic Computing Cloud, EC2) 和 简单 存储 服务 (Simple 
Storage Service,S3) 为 企业 提供 计算 和 存储 服务 。EC2 向 客户 提供 虚拟 执行 环境 租赁 服 


222 信息 安全 基础 


En 


务 , 供 企业 开发 ,测试 或 执行 应 用 程序 使 用 ,客户 可 以 按 需 选择 内 存 空 间 、 运 算 单位 及 存储 空 
间 等 环境 。S3 是 一 个 公开 的 服务 , Web 应 用 程序 开发 人 员 可 以 使 用 它 存储 数字 资产 ,包括 
图 片 .视频 .音乐 和 文档 ,S3 提供 一 个 RESTful API 以 编程 方式 实现 与 该 服务 的 交互 。 

AWS 已 经 具备 云 计 算 的 三 个 基本 特征 : 用 户 需要 的 IT 资源 不 在 自己 的 数据 中 心里 
面 , 这 些 资源 可 以 通过 互联 网 获得 ,没有 固定 的 投资 成 本 。AWS(CAmazon Web Services， 
Amazon Web 服务 ) 包 括 四 种 服务 : S3 提供 无 限制 存储 空间 ,存储 是 每 月 每 GB 为 15 美 分 ; 
EC2 根据 配置 不 同 ,服务 器 容量 是 每 小 时 10 一 80 美 分 ,用 户 可 以 选择 不 同 的 服务 器 配置 ,对 
实际 用 到 的 计算 处 理 量 进行 付费 ; Simple Queuing Service( 一 种 简单 的 消息 队列 ); 处 在 测 
试 阶段 的 SimpleDB( 简 单 的 数据 库 管 理 ) 。 目 前 ,Amazon 通过 互联 网 提供 计算 处 理 、 存 储 、 
消息 队列 .数据库 管理 系统 等 " 即 插 即 用 ?型 服务 。 

Google Drive 是 谷歌 公司 推出 的 一 项 在 线 云 存储 服务 ,用 户 通过 统一 的 谷歌 账户 进行 
登录 ; 通过 这 项 服务 ,用户 可 以 获得 15GB 的 免费 存储 空间 ; 同时 如 果 用 户 有 更 大 需求 , 则 
可 以 通过 付费 方式 获得 更 大 的 存储 空间 。Google Drive 服务 有 本 地 客户 端 版 本 、 网 络 界面 
版 本 ,针对 Google Apps 客户 推出 , 配 上 特殊 域名 ; Google 向 第 三 方 提供 API 接口 ,允许 从 
其 他 程序 上 传 内 容 到 Google Drive。Google Drive 支持 直接 从 网 页 浏览 器 打开 多 达 30 多 
种 文件 格式 ,包括 高 清 视频 和 Photoshop 文件 .采用 与 其 他 App 服务 一 样 的 基础 架构 ,拥有 
同样 的 管理 工具 和 安全 可 靠 性 。 集 中 式 管 理 ,新 的 控制 工具 可 以 让 管理 员 删 除 或 者 添加 个 
人 或 者 群 组 用 户 的 存储 空间 ; 安全 性 ,通过 对 传输 于 浏览 器 和 服务 器 之 间 的 数据 进行 加 密 ， 
同时 采取 两 步 认证 方式 ,以 防止 非 授权 的 账户 登录 获取 记录 ; 数据 镜像 ,即使 在 某 个 服务 器 
宕 机 的 情况 下 ,数据 仍然 将 是 安全 与 可 用 的 ,因为 将 数据 同步 到 了 多 个 数据 中 心 ; 可 用 性 ， 
Google 保证 99. 9% 时 间 正 常 运 行 ,因此 无 须 担 心 数 据 的 可 用 性 ,任何 时 候 需 要 时 都 可 以 获 
得 想 要 的 数据 。Google Drive 提供 15GB 免费 存储 空间 足够 用 户 日 常 使 用 ,如 果 用 户 需 要 
更 大 的 空间 ,可 选择 升级 至 100GB 空间 ,每 月 费用 为 4. 99 美元 ; 或 升级 至 200GB, 月 费 9. 
99 美元 ; 或 升级 至 400GB, 月 费 19. 99 美元 ; 或 升级 至 1TB, 月 费 49. 99 美元 。 


8.3 云 计 算 安全 


云 安全 (Cloud Security) 通 过 网 状 的 大 量 客户 端 对 网 络 中 软件 行为 的 异常 进行 监测 , 获 
取 互 联网 中 木马 、 恶 意 程序 的 最 新 信息 ,推送 到 服务 端 进行 自动 分 析 和 处 理 ,再 把 病毒 和 木 
马 的 解决 方案 分 发 到 每 一 个 客户 端 。 整 个 互联 网 , 变 成 了 一 个 超级 大 的 杀毒 软件 ,这 就 是 云 
安全 计划 的 宏伟 目标 。 云 安全 的 策略 构想 是 : 使 用 者 越 多 ,每 个 使 用 者 就 越 安 全 ,因为 如 此 
庞大 的 用 户 群 ,足以 覆盖 互联 网 的 每 个 角落 ,只 要 某 个 网 站 被 挂 马 或 某 个 新 木马 病毒 出 现 ， 
就 会 立刻 被 截获 。 

云 安全 技术 是 P2P 技术 、 网 格 技术 ` 云 计算 技术 等 分 布 式 计算 技术 混合 发 展 . 自 然 演 化 
的 结果 。 云 安全 的 核心 思想 与 反 垃圾 邮件 网 格 非常 接近 ,垃圾 邮件 泛滥 而 无 法 用 技术 手段 
很 好 地 自动 过 滤 , 是 因为 所 依赖 的 人 工 智 能 方法 不 是 成 熟 技 术 。 垃 圾 邮件 的 最 大 的 特征 是 : 
它 会 将 相同 的 内 容 发 送 给 数 以 百 万 计 的 接收 者 。 为 此 ,可 以 建立 一 个 分 布 式 统计 和 学 习 平 
台 , 以 大 规模 用 户 的 协同 计算 来 过 滤 垃 圾 邮件 : 首先 ,用 户 安装 客户 端 ,为 收 到 的 每 一 封 邮 
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件 计 算出 一 个 唯一 的 “指纹 ”, 通 过 比 对 “指纹 ”可 以 统计 相似 邮件 的 副本 数 , 当 副本 数 达 到 一 
定数 量 ,就 可 以 判定 邮件 是 垃圾 邮件 ; 其 次 ,由 于 互联 网 上 多 台 计 算 机 比 一 台 计 算 机 掌握 的 
信息 更 多 ,因而 可 以 采用 分 布 式 贝 叶 斯 学 习 算 法 ,在 成 百 上 千 的 客户 端 机 器 上 实现 协同 学 习 
过 程 ,收集 ,分 析 并 共享 最 新 的 信息 。 反 垃圾 邮件 网 格 体现 了 真正 的 网 格 思想 ,每 个 加 入 系 
统 的 用 户 既 是 服务 的 对 象 , 也 是 完成 分 布 式 统计 功能 的 一 个 信息 节点 , 随 着 系统 规模 的 不 断 
扩大 ,系统 过 滤 垃 圾 邮件 的 准确 性 也 会 随 之 提高 。 用 大 规模 统计 方法 来 过 滤 垃 圾 邮件 的 做 
法 比 用 人 工 智 能 的 方法 更 成 熟 ,不 容易 出 现 误 判 假 阳性 的 情况 ,实用 性 很 强 。 

反 垃 圾 邮件 网 格 就 是 利用 分 布 在 互联 网 中 的 千 百 万 台 主机 的 协同 工作 ,来 构建 一 道 拦 
截 垃圾 邮件 的 “天 网 ”。 反 垃圾 邮件 网 格 思想 提出 后 ,被 [EEE Cluster 2003 国际 会 议 选 为 杰 
出 网 格 项 目 在 香港 作 了 现场 演示 ,在 2004 年 网 格 计算 国际 研讨 会 上 作 了 专题 报告 和 现场 演 
示 , 引 起 较为 广泛 的 关注 。 既 然 垃圾 邮件 可 以 如 此 处 理 ,病毒 .木马 等 亦 然 , 这 与 云 安全 的 思 
想 就 相去 不 远 了 。 

云 安全 技术 原理 ,是 网 络 时 代 信息 安全 的 最 新 体现 , 它 融 合 了 并 行 处 理 、 网 格 计算 .未 知 
病毒 行为 判断 等 新 兴 技 术 和 概念 ,通过 网 状 的 大 量 客户 端 对 网 络 中 软件 行为 的 异常 进行 监 
测 ,获取 互联 网 中 木马 .恶意 程序 的 最 新 信息 ,推送 到 服务 器 端 进 行 自动 分 析 和 处 理 , 再 把 病 
毒 和 木马 的 解决 方案 分 发 到 每 一 个 客户 端 , 如 图 8-7 所 示 。 


用 户 访问 请 求 一 ~、 | 
2 
挂 马 网 站 


所 一 一 将 用 户 请 求 重 定向 到 攻击 网 站 


用 户 应 用 程序 
| 四 


攻击 网 站 
图 8-7 云 安全 示意 


未 来 杀毒 软件 将 无 法 有 效 地 处 理 日 益 增多 的 恶意 程序 。 来 自 互 联网 的 主要 威胁 正在 由 
电脑 病毒 转向 恶意 程序 及 木马 ,在 这 样 的 情况 下 ,采用 的 特征 库 判 别 法 显然 已 经 过 时 。 云 安 
全 技术 应 用 后 ,识别 和 查 杀 病毒 不 再 仅仅 依靠 本 地 硬盘 中 的 病毒 库 , 而 是 依靠 庞大 的 网 络 服 
务 ,实时 进行 采集 、 分 析 以 及 处 理 。 整 个 互联 网 就 是 一 个 巨大 的 “杀毒 软件 ”, 参 与 者 越 多 ,每 
个 参与 者 就 越 安全 ,整个 互联 网 就 会 更 安全 。 图 8-8 所 示 为 云 安 全 架构 。 

云 安全 的 概念 提出 后 , 曾 引 起 了 广泛 的 争议 ,许多 人 认为 它 是 伪 命 题 。 但 事实 胜 于 雄 
辩 , 云 安全 的 发 展 像 一 阵风 ,瑞星 .趋势 .卡巴 斯 基 、MCAFEE、SYMANTEC、 江 民 科 技 、 
PANDA 金山 .360 安全 卫士 等 都 推出 了 云 安全 解决 方案 。 我 国安 全 企业 金山 .360、 瑞 星 等 
都 拥有 相关 的 技术 并 投入 使 用 。 金 山 的 云 技术 使 得 自己 的 产品 资源 占用 得 到 极 大 的 减少 ， 


图 8-8 云 安 全 架构 


在 很 多 老 机 器 上 也 能 流畅 运行 。 趋 势 科技 云 安全 已 经 在 全 球 建立 了 五 大 数据 中 心 , 几 万 部 
在 线 服务 器 。 据 悉 , 云 安全 可 以 支持 平均 每 天 55 亿 条 点 击 查 询 , 每 天 收集 分 析 2. 5 亿 个 样 
本 ,资料 库 第 一 次 命中 率 就 可 以 达到 99%。 借 助 云 安全 ,趋势 科技 现在 每 天 阻 断 的 病毒 感 
染 最 高 达 1000 万 次 。 

在 基于 “ 云 安 全 ”技术 的 多 种 杀毒 软件 的 2010 版 本 中 ,很 多 用 户 在 使 用 后 已 感觉 到 ,其 
新 版 极 大 降低 了 在 不 同 状态 下 的 整体 资源 占用 。 基 于 * 云 计算 ”的 杀毒 软件 打破 了 传统 杀毒 
软件 此 前 须 将 病毒 特征 库存 放 于 本 地 ,通过 单纯 升级 累积 的 弊端 ,将 病毒 定义 和 特征 库 置 于 
服务 端 ( 云 端 ) ,使 得 用 户 仅 在 本 地 调用 引擎 和 特征 库 的 情况 下 ,随时 访问 和 借助 几 千 万 的 病 
毒 特征 库 来 识别 对 应 威胁 ,并 通过 已 被 多 次 验证 的 .对 病毒 木马 样本 高 达 99% 的 检测 率 , 证 
明了 云 杀 毒 技 术 的 优势 所 在 。 基 于 “ 云 安全 "技术 的 专业 杀毒 软件 ,可 以 给 用 户 提 供 更 为 全 
面 的 防御 功能 , 它 可 以 针对 现 有 病毒 不 断 的 发 生 、 病 毒 创 造 非常 快 的 特点 ,推出 云 安 全 技术 ， 
并 将 此 技术 应 用 到 了 产品 当中 ,给 用 户 提供 了 足够 的 安全 保障 。 


8.4 瑞星 云 安全 解决 方案 


自从 1988 年 英里 斯 蠕虫 出 现 直到 2004 年 ,全 球 截获 的 电脑 病毒 总 数 有 10 万 ,其 中 大 
部 分 是 木马 病毒 。 只 要 电脑 接 入 互联 网 ,就 会 立刻 面临 木马 病毒 的 包围 : 电子 邮件 带 毒 、 即 
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adn MP3 带 毒 、 网 页 上 被 植 入 木马 …… 在 国内 各 大 IT 论坛 

经 常 能 听 到 电脑 用 户 的 抱怨 不管 使 用 什么 杀毒 软件 ,都 难以 阻挡 病毒 ,只 能 将 电脑 一 次 
rt 而 国外 反 病 毒 公司 Trend Micro 的 CEO 也 曾 表示 ,目前 反 病毒 业界 的 状况 糟糕 极 
了 。 即 使 是 一 名 病毒 分 析 工 程 师 ,每 天 最 多 能 分 析 20 个 左右 新 病毒 , 面 对 成 几何 级 数 爆炸 
增长 的 新 木马 病毒 , 反 病毒 公司 何以 承担 如 此 严峻 的 任务 ? 如 果 依 然 沿 袭 以 往 的 反 病毒 模 
式 , 安 全 厂商 将 被 淹没 在 木马 病毒 的 汪洋 大 海中 。 

1. 让 每 一 台电 脑 都 变 成 一 个 木马 监测 站 

考虑 上 述 因素 ,除了 利用 主动 防御 技术 ,未知 病毒 分 析 技 术 等 提高 杀毒 软件 的 查 杀 能 力 
之 外 ,还 需要 对 传统 的 木马 病毒 截获 ,分析 处 理 方法 做 根本 性 的 变革 , 才 可 以 有 效应 对 木马 
病毒 泛滥 的 严峻 局 势 。 瑞 星云 安全 计划 的 内 容 是 ,将 用 户 和 瑞星 技术 平台 通过 互联 网 紧密 
相连 ,组 成 一 个 庞大 的 木马 /恶意 软件 监测 , 查 杀 网 络 ,每 个 瑞星 卡 卡 6. 0 用 户 都 为 云 安全 计 
划 贡 献 一 份 力量 ,同时 分 享 其 他 所 有 用 户 的 安全 成 果 , 如 图 8-9 所 示 。 


木马 / 悉 意 软件 自动 分 析 系 统 


i J 


卡 卡 6.0 用 户 云 
自 me 


瑞星 安全 资料 库 


www.rising.com.cn 


图 8-9 ”全民 防御 绝 杀 木马 


瑞星 卡 卡 6.0 的 自动 在 线 诊断 模块 ,是 云 安全 计划 的 核心 之 一 ,每 当 用 户 启动 电脑 ,该 
模块 都 会 自动 检测 并 提取 电脑 中 的 可 疑 木马 样本 ,并 上 传 到 瑞星 木马 /恶意 软件 自动 分 析 系 
统 (Rs Automated Malware Analyzer, RsAMA), 整 个 过 程 只 需要 几 秒 钟 。 随 后 RsAMA 将 
把 分 析 结 果 反 馈 给 用 户 , 查 杀 木马 病毒 .并 通过 瑞星 安全 资料 库 (Rising Security Database， 
RsSD) ,分 享 给 其 他 所 有 瑞星 卡 卡 6. 0 用 户 。 由 于 此 过 程 全 部 通过 互联 网 并 经 程序 自动 控 
制 , 可 以 在 最 大 程度 上 提高 用 户 对 木马 和 病毒 的 防范 能 力 。 理 想 状 态 下 ,从 一 个 盗号 木马 攻 
击 某 台电 脑 ,到 整个 云 安全 网 络 对 其 拥有 免疫 、 查 杀 能 力 , 仅 需 几 秒 的 时 间 。 

2. 瑞星 如 何 每 天 处 理 10 万 个 新 木马 病毒 

瑞星 如 何 分 析 、 处 理 每 天 收 到 的 8 万 一 10 万 个 新 木马 病毒 样本 的 呢 ? 光 任 人 力 肯 定 是 
无 法 解决 这 个 问题 的 , 云 安 全 计划 的 核心 是 瑞星 RsAMA ,该 系统 能 够 对 大 量 病 毒 样 本 进行 
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自动 分 类 与 共性 特征 分 析 。 借 助 该 系统 ,能 让 病毒 分 析 工 程 师 的 处 理 效 率 成 倍 提高 。 虽 然 
每 天 收集 到 的 木马 病毒 样本 有 8 万 一 10 万 个 .但 是 瑞星 的 自动 分 析 系 统 能 够 根据 木马 病毒 
的 变种 群 自动 进行 分 类 ,并 利用 变种 病毒 家 族 特征 提取 技术 分 别 将 每 个 变种 群 的 特征 进行 
提取 。 这 样 ,对 数 万 个 新 木马 病毒 进行 自动 分 析 处 理 后 ， 
真正 需要 人 工分 析 的 新 木马 病毒 样本 只 有 数 百 个 。 病 毒 
处 理 流程 如 图 8-10 所 示 。 瑞 星 拥 有 近 20 年 的 反 病 毒 经 
验 ,是 国内 最 早 将 行为 模式 判断 .虚拟 机 脱 壳 和 智能 主动 
防御 等 新 技术 应 用 在 产品 中 的 厂商 ,也 最 早 提出 族群 式 查 病毒 工程 师 分 析 
杀 的 概念 。 其 RsAMA 自 开 始 搭建 ,目前 每 天 可 以 处 理 10 
万 个 可 疑 木马 样本 。 

3. 互联 网 就 是 杀毒 软件 

每 一 个 瑞星 卡 卡 6. 0 的 用 户 都 为 云 安全 计划 贡献 力量 ,同时 分 享 所 有 用 户 的 安全 成 果 。 
瑞星 卡 卡 6. 0 本 身 只 是 一 个 数 兆 大 小 的 安全 工具 ,但 是 它 的 背后 是 国内 最 大 的 信息 安全 专业 
团队 ,是 瑞星 RsAMA 和 RsSD, 同 时 共享 着 数 千 万 其 他 瑞星 卡 卡 6. 0 用 户 的 可 疑 文件 监测 成 
果 , 如 图 8-11 所 示 。 参 与 者 越 多 ,整个 网 络 越 安全 。 随 着 瑞星 卡 卡 6. 0 用 户 数量 的 不 断 增 长 ， 
新 木马 病毒 暴露 在 监测 节点 面前 的 几率 就 会 增 大 ,瑞星 RsAMA 收取 并 分 析 处 理 的 样本 就 会 
同步 提升 ,而 每 一 个 瑞星 卡 卡 6. 0 用 户 从 RsSD 所 获得 的 新 木马 病毒 查 杀 能 力 就 会 提高 。 


图 8-10 ”病毒 处 理 流程 


MR:sDi 


图 8-11 瑞星 云 安全 体系 架构 


8.5 趋势 云 安全 解决 方案 


趋势 科技 云 安 全 智能 保护 网 络 能 在 最 新 网 络 威胁 到 达 用 户 的 计算 机 之 前 予以 拦截 ,从 
而 带 来 了 比 传统 方法 更 加 智能 .更 高 效率 的 安全 性 。 云 安全 智能 保护 网 络 充分 利用 了 趋势 
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科技 的 各 种 解决 方案 和 服务 架构 ,把 独特 的 互联 网 与 云端 技术 和 客户 端 (包含 所 有 的 趋势 科 
技 网 络 安全 专家 客户 端 ) 结 合 起 来 ,无 论 您 是 在 家 里 或 是 在 公司 网 络 还 是 在 漫游 中 ,都 能 够 
迅速 并 自动 保护 您 的 网 络 安全 。 趋 势 科 技 云 安全 智能 保护 网 络 针 对 所 有 网 络 威胁 类 型 提供 
实时 的 共同 智能 保护 一 一 从 恶意 文件 .垃圾 邮件 、 网 络 钓鱼 和 网 络 威胁 到 拒绝 服务 攻击 、 网 
络 漏洞 甚至 是 数据 丢失 。 通 过 把 各 种 活动 联系 起 来 判断 它们 是 否 有 害 。 这 是 因为 网 络 威胁 
的 单一 行为 看 起 来 可 能 是 无 害 的 ,但 是 当 同 时 探测 到 多 种 行为 和 活动 时 ,就 很 有 可 能 发 现 有 
害 的 活动 。 主 要 组 件 包 括 网 络 信誉 技术 .电子 邮件 信誉 技术 文件 信誉 技术 、 行 为 关联 信誉 
技术 、 邻 里 监督 自动 反馈 机 制 、 威 胁 情报 。 图 8-12 所 示 为 以 组 建 为 基础 的 安全 体系 架构 。 
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图 8-12 云 安全 体系 架构 


1. 网 络 信誉 技术 

趋势 科技 的 Web 信誉 服务 按照 恶意 软件 行为 分 析 所 发 现 的 网 站 页 面 ` 历 史 位 置 变 化 和 
可 疑 活动 迹象 等 因素 来 制定 信誉 分 数 , 从 而 追踪 网 页 的 可 信和 度 。 然 后 将 通过 该 技术 继续 扫 
描 网 站 并 防止 用 户 访问 被 感染 的 网 站 。 为 了 提高 准确 性 、 降 低 误 报 率 ,趋势 科技 Web 信誉 
服务 为 网 站 的 特定 网 页 或 链接 制定 了 信誉 分 值 ,而 不 是 对 整个 网 站 进行 分 类 或 拦截 ,因为 通 
常 合 法 网 站 只 有 一 部 分 受到 攻击 ,而 信誉 可 以 随时 间 而 不 断 变化 。 通 过 信誉 分 值 的 比 对 ,就 
可 以 知道 某 个 网 站 潜在 的 风险 级 别 。 当 用 户 访 问 具 有 潜在 风险 的 网 站 时 ,就 可 以 及 时 获得 
系统 提醒 或 阻止 ,从 而 帮助 用 户 快 速 地 确认 目标 网 站 的 安全 性 。 通 过 Web 信誉 服务 ,可 以 
防范 恶意 程序 源头 。 由 于 对 0 day 攻击 的 防范 是 基于 网 站 的 可 信 程度 而 不 是 真正 的 内 容 ， 
因此 能 有 效 预 防 恶 意 软件 的 初始 下 载 , 用 户 进入 网 络 前 就 能 够 获得 防护 能 力 。 

2. 电子 邮件 信誉 技术 

电子 邮件 信誉 服务 按照 已 知 垃圾 邮件 来 源 的 信誉 数据 库 检 查 IP 地 址 ,同时 利用 可 以 实 
时 评估 电子 邮件 发 送 者 信誉 的 动态 服务 对 IP 地 址 进行 验证 。 信 誉 评分 通过 对 IP 地 址 的 
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“行为 "“ 活 动 范围 ?以 及 以 前 的 历史 进行 不 断 的 分 析 而 加 以 细 化 。 按 照发 送 者 的 IP 地 址 ， 
恶意 电子 邮件 在 云 中 即 被 拦截 ,从 而 防止 僵尸 或 僵尸 网 络 等 Web 威胁 到 达 网 络 或 用 户 的 计 
算 机 。 

3. 文件 信誉 服务 技术 

文件 信誉 服务 技术 可 以 检查 位 于 端点 .服务 器 或 网 关 处 的 每 个 文件 的 信誉 。 检 查 的 依 
据 包括 已 知 的 良性 文件 清单 和 已 知 的 恶性 文件 清单 , 即 现在 所 谓 的 防 病毒 特征 码 。 高 性 能 
的 内 容 分 发 网 络 和 本 地 缓冲 服务 器 将 确保 在 检查 过 程 中 使 延迟 时 间 降 到 最 低 。 由 于 恶意 信 
息 被 保存 在 云 中 ,因此 可 以 立即 到 达 网 络 中 的 所 有 用 户 。 而 且 , 和 占用 端点 空间 的 传统 防 病 
毒 特征 码 文件 下 载 相 比 ,这 种 方法 降低 了 端点 内 存 和 系统 消耗 。 

4. 行为 关联 分 析 技术 

利用 行为 分 析 的 “相关 性 技术 ”把 威胁 活动 综合 联系 起 来 ,确定 其 是 否 属于 恶意 行为 。 
Web 威胁 的 单一 活动 似乎 没有 什么 害处 ,但 是 如 果 同 时 进行 多 项 活动 ,那么 就 可 能 会 导致 
恶意 结果 。 因 此 需要 按照 启发 式 观点 来 判断 是 否 实际 存在 威胁 ,可 以 检查 潜在 威胁 不 同 组 
件 之 间 的 相互 关系 。 通 过 把 威胁 的 不 同 部 分 关联 起 来 并 不 断 更 新 其 威胁 数据 库 , 使 得 趋势 
科技 获得 了 突出 的 优势 , 即 能 够 实时 做 出 响应 ,针对 电子 邮件 和 Web 威胁 提供 及 时 、 自 动 的 
保护 。 

5. 有 助 于 “邻里 监督 "的 自动 反馈 机 制 

自动 反馈 机 制 ,以 双向 更 新 流 方式 在 趋势 科技 的 产品 及 公司 的 全 天 候 威 胁 研究 中 心 和 
技术 之 间 实 现 不 间断 通信 。 通 过 检查 单个 客户 的 路 由 信誉 来 确定 各 种 新 型 威胁 ,趋势 科技 
广泛 的 全 球 自动 反馈 机 制 的 功能 很 像 现 在 很 多 社区 采用 的 “邻里 监督 ”方式 ,实现 实时 探测 
和 及 时 的 “共同 智能 ”保护 ,将 有 助 于 确立 全 面 的 最 新 威胁 指数 。 单 个 客户 常规 信誉 检查 发 
现 的 每 种 新 威胁 都 会 自动 更 新 趋势 科技 位 于 全 球 各 地 的 所 有 威胁 数据 库 , 防 止 以 后 的 客户 
遇 到 已 经 发 现 的 威胁 。 

6. 威胁 情报 

来 自 全 球 各 地 的 研究 人 员 将 补充 趋势 科技 的 反馈 和 提交 内 容 。 在 趋势 科技 防 病毒 研发 
支持 中 心 TrendLabs ,员工 将 提供 实时 响应 .24/7 的 全 天 候 威胁 监控 和 攻击 防御 ,以 探测 、 
预防 并 清除 攻击 。 趋 势 科技 综合 应 用 各 种 技术 和 数据 收集 方式 ,包括 “ 蜜 铅 ”、 网 络 息 行 器 、 
客户 和 合作 伙伴 内 容 提 交 、 反 馈 回 路 以 及 TrendLabs 威胁 研究 .趋势 科技 能 够 获得 关于 最 
新 威胁 的 各 种 情报 。 通 过 趋势 科技 云 安全 中 的 恶意 软件 数据 库 以 及 TrendLabs 研究 、 服 务 
和 支持 中 心 对 威胁 数据 进行 分 析 。 

7. 趋势 科技 云 安 全 产品 

虚拟 化 和 云 计算 使 当今 的 数据 中 心 改 换 了 面貌 。 但 随 着 各 组 织 纷纷 从 物理 环境 迁移 至 
集 物理 .虚拟 以 及 私有 云 和 公共 云 于 一 体 的 综合 环境 ,许多 组 织 仍然 沿用 之 前 的 多 种 传统 安 
全 解决 方案 来 应 对 当前 流行 的 威胁 形势 。 在 虚拟 环境 中 ,这 会 增加 操作 复杂 性 、 降 低 主机 性 
能 和 虚拟 机 密度 。 在 云 环 境 中 ,传统 安全 解决 方案 会 造成 安全 空白 ,从 而 影响 将 关键 业务 应 
用 转移 至 灵活 的 低 成 本 云 环境 的 信心 。 不 幸 的 是 ,这 将 导致 无 法 充分 利用 虚拟 化 和 云 计算 
技术 ,从 而 难以 实现 投资 回报 率 最 大 化 。 
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趋势 科技 服务 器 深度 安全 (Deep Security) 防 护 系统 提供 了 一 种 全 方位 服务 器 安全 平 
台 , 旨 在 保护 您 的 数据 中 心 和 云 平台 免 遭 数据 泄露 和 业务 中 断 , 并 降低 运营 成 本 。 可 以 以 多 
种 方式 组 合 使 用 的 模块 包括 防 恶意 软件 .Web 信誉 .防火墙 .入 侵 阻止 .完整 性 监控 和 日 志 
检查 ,以 确保 物理 .虚拟 和 云 环境 中 服务 器 的 应 用 程序 以 及 数据 的 安全 (系统 部 署 如 图 8-13 
所 示 ) 适 用 于 VMWare 的 无 代理 安全 解决 方案 ,也 可 在 所 有 平台 上 作为 多 功能 安全 客户 端 
使 用 。 无 论 是 以 上 哪 种 用 途 ,Deep Security 都 可 以 简化 安全 操作 ,同时 提升 虚拟 化 和 云 环 
境 的 投资 回报 率 。 
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图 8-13 ”Deep Security 系统 部 署 


8. 趋势 云 安全 特点 

各 大 安全 厂商 皆 宣 称 具有 云 安 全 服务 ; 将 客户 端 视 为 “搜集 代理 ”, 透 过 网 络 搜集 威胁 ， 
并 不 能 称 得 上 真正 的 云 安全 。 真 正 使 用 云 安全 的 直接 好 处 ,可 以 用 三 个 零 的 理念 解释 。 

零增长 的 资源 占用 : 将 病毒 库 或 威胁 知识 库 放置 于 云端 ,而 用 户 本 地 的 资源 消耗 不 再 
随 着 威胁 数量 增长 而 增长 。 

零 时 间 的 防护 部 署 : 透 过 网 络 ,以 信誉 "评比 ”的 方式 提供 防护 参考 。 如 访问 网 站 时 , 云 
安全 Web 信誉 技术 提供 域名 安全 定 级 ,再 决定 是 否 放行 或 是 阻 断 访问 。 相 同 理念 也 在 文件 
和 邮件 上 实现 , 当 开 启 文档 时 ,向 云 安 全 服务 器 查询 此 文档 是 否 带 有 恶意 行为 。 威 胁 知识 库 
部 署 于 互联 网 ,不 再 需要 将 庞大 的 病毒 库 推 向 终端 。 

零 时 差 的 威胁 间隙 : 三 个 信誉 技术 一 一 Web 邮件、 文件 信誉 技术 所 形成 的 “关联 分 
析 ”, 能 够 从 单一 独立 事件 ,分析 计算 出 其 他 威胁 的 攻击 途径 。 例 如 ,从 一 个 未 定 级 垃圾 邮件 
中 , 云 安全 计算 首先 将 此 邮件 拆 解 ,取出 数 个 未 定 级 链接 ,再 访问 链接 后 获得 连接 的 文档 ,并 
分 析 文档 加 以 判定 为 恶意 软件 。 云 安全 智能 网 络 能 自动 分 析 并 判断 最 新 的 威胁 途径 ; 以 此 
例 来 说 ,此 垃圾 邮件 和 其 中 的 带 有 威胁 的 链接 将 定 级 为 恶意 软件 来 源 。 
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信息 系统 的 安全 管理 目标 是 管 好 信息 资源 安全 ,信息 安全 管理 是 信息 系统 安全 的 重要 
组 成 部 分 ,管理 是 保障 信息 安全 的 重要 环节 ,是 不 可 或 缺 的 。 实 际 上 ,大 多 数 安全 事件 和 安 
全 隐患 的 发 生 ,与 其 说 是 技术 上 的 原因 ,不 如 说 是 由 于 管理 不 善 而 造成 的 。 因 此 ,信息 系统 
的 安全 是 三 分 靠 技术 ,七 分 靠 管理 ,可 见 管理 的 重要 性 。 信 息 安 全 管理 贯穿 于 信息 系统 规 
划 、 设 计 、 建 设 .运行 .维护 各 个 阶段 。 


9.1 要 述 


当今 社会 已 经 进入 到 信息 化 社会 ,其 信息 安全 是 建立 在 信息 社会 的 基础 设施 及 信息 服 
务 系统 之 间 的 互联 .互通 、 互 操作 意义 上 的 安全 需求 上 ,安全 需求 可 以 分 为 安全 技术 需求 和 
安全 管理 需求 两 个 方面 。 管 理 在 信息 安全 中 的 重要 性 高 于 安全 技术 层面 ,三 分 技术 ,七 分 
管理 ”的 理念 在 业界 中 已 经 得 到 共识 。 信 息 安 全 管理 体系 (Information Security 
Management System,ISMS) 是 从 管理 学 惯用 的 过 程 模型 PDCA(Plan .Do Check、Act) 发 展 
演化 而 来 ,如 图 9-1 所 示 。 


[SS ] 发 


生命 
周期 


相关 组 织 部 门 


rE 
图 9-1 信息 安全 管理 PDCA 模型 


信息 安全 管理 体系 (ISMS) 是 一 个 系统 化 、 过 程 化 的 管理 体系 ,体系 的 建立 不 可 能 一 跳 
而 就 ,需要 人 全面、 系统、 科学 的 风险 评估 制度 保证 和 有 效 监督 机 制 。ISMS 应 该 体现 预防 控 
制 为 主 的 思想 ,强调 遵守 国家 有 关 信 息 安全 的 法 律 法 规 ,强调 全 过 程 的 动态 调整 ,从 而 确保 
整个 安全 体系 在 有 效 管理 控制 下 ,不 断 改进 完善 以 适应 新 的 安全 需求 。 在 建立 信息 安全 管 
理 体系 的 各 环节 中 ,安全 需求 的 提出 是 ISMS 的 前 提 , 运 作 实 施 、 监 视 评 审 和 维护 改进 是 重 
要 步骤 ,而 可 管理 的 信息 安全 是 最 终 目标 。 在 各 环节 中 ,风险 评估 管理 ,标准 规范 管理 以 及 
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制度 法 规 管理 这 三 项 工作 直接 影响 到 整个 信息 安全 管理 体系 是 否 能 够 有 效 实行 ,因此 也 具 
有 非常 重要 的 地 位 。 

风险 评估 (Risk Assessment) 是 指 对 信息 资产 所 面临 的 威胁 、 存 在 的 弱点 、 可 能 导致 的 
安全 事件 以 及 三 者 综合 作用 所 带 来 的 风险 进行 评估 。 作 为 风险 管理 的 基础 ,风险 评估 是 组 
织 确 定 信息 安全 需求 的 一 个 重要 手段 。 风 险 评估 管理 就 是 指 在 信息 安全 管理 体系 的 各 环节 
中 ,合理 地 利用 风险 评估 技术 对 信息 系统 及 资产 进行 安全 性 分 析 及 风险 管理 ,为 规划 设计 完 
善信 息 安全 解决 方案 提供 基础 资料 ,属于 信息 安全 管理 体系 的 规划 环节 。 

标准 规范 管理 是 在 规划 实施 信息 安全 解决 方案 时 ,各 项 工作 遵循 国际 或 国家 相关 标准 
规范 ,有 完善 的 检查 机 制 。 国 际 标准 可 以 分 为 互 操作 标准 、 技 术 与 工程 标准 、 信 息 安 全 管理 
与 控制 标准 三 类 。 互 操作 标准 主要 是 非 标准 组 织 研发 的 算法 和 协议 经 过 自发 的 选择 过 程 ， 
成 为 事实 上 的 标准 ,如 AES、RSA、SSL 以 及 通用 脆弱 性 描述 标准 CVE 等 。 技 术 与 工程 标 
准 主要 指 由 标准 化 组 织 制定 的 用 于 规范 信息 安全 产品 ,技术 和 工程 的 标准 ,如 信息 产品 通用 
评测 准则 (ISO 15408)、 安 全 系统 工程 能 力 成 熟 度 模型 (SSE-CMM) .美国 信息 安全 白皮书 
(TCSEC) 等 。 信 息 安全 管理 与 控制 标准 是 指 由 标准 化 组 织 制定 的 用 于 指导 和 管理 信息 安 
全 解决 方案 实施 过 程 的 标准 规范 ,如 信息 安全 管理 体系 标准 (BS-7799) 信息 安全 管理 标准 
(ISO 13335) 以 及 信息 和 相关 技术 控制 目标 (COBIT) 等 。 

制度 法 规 管理 是 指 宣传 国家 及 各 部 门 制定 的 相关 制度 法 规 , 并 监督 有 关 人 员 是 否 遵守 
这 些 制度 法 规 。 每 个 组 织 部 门 ( 如 企 事业 单位 ` 公 司 以 及 各 种 团体 等 ) 都 有 信息 安全 规章 制 
度 , 有 关 人 员 严 格 遵守 这 些 规章 制度 对 于 一 个 组 织 部 门 的 信息 安全 来 说 十 分 重要 ,而 完善 的 
规章 制度 和 健全 的 监管 机 制 更 是 必 不 可 少 。 除 了 有 关 的 组 织 部 门 自己 制定 的 相关 规章 制度 
之 外 ,国家 的 有 关 信 息 安 全 法 律 法 规 更 是 有 关 人 员 需 要 遵守 的 。 目 前 在 计算 机 系统 、 互 联网 
以 及 其 他 信息 领域 中 ,国家 均 制 定 了 相关 法 律 法 规 进行 约束 管理 ,如 果 触 犯 ,势必 受到 相应 
的 惩罚 。 根 据 英国 学 者 巴 雷 特 的 归纳 ,各 国 对 计算 机 犯罪 的 立法 ,主要 采取 了 两 种 方案 ,一 
种 是 制定 计算 机 犯罪 的 专项 立法 ,如 美国 .英国 等 ; 另 一 种 是 通过 修订 法 典 ,增加 规定 有 关 
计算 机 犯罪 的 内 容 , 如 法 国 、 俄 罗斯 等 。 目 前 我 国 现行 法 律 法 规 中 ,与 信息 安全 有 关 的 已 有 
近 百 部 ,涉及 网 络 与 信息 系统 安全 、 信 息 内 容 安全 、 信 息 安 全 系统 与 产品 .保密 及 密码 管理 、 
计算 机 病毒 与 危害 性 程序 防治 、 金 融 等 特定 领域 的 信息 安全 、 信 息 安全 犯罪 制裁 等 多 个 领 
域 , 初 步 形成 了 我 国信 息 安 全 的 法 律 体系 。 

除了 有 关 信 息 安全 法 规 及 部 门 规章 制度 之 外 ,道德 规范 也 是 信息 领域 从 业 人 员 及 广大 
用 户 应 该 遵守 的 ,包括 计算 机 从 业 人 员 道 德 规范 、 网 络 用 户 道德 规范 以 及 服务 商道 德 规范 
等 。 信 息 安 全 道德 规范 的 基本 出 发 点 是 一 切 个 人 信息 行为 必须 服从 于 信息 社会 的 整体 利 
益 , 即 个 体 利益 服从 整体 利益 ; 对 于 运营 商 来 说 ,信息 网 络 的 规划 和 运行 应 以 服务 于 社会 成 
员 整 体 为 目的 。 信 息 安全 风险 管理 是 信息 安全 管理 的 重要 部 分 ,是 规划 建设、 实施 及 完善 
信息 安全 管理 体系 的 基础 和 主要 目标 。 其 核心 内 容 包括 风险 评估 和 风险 控制 两 个 部 分 。 风 
险 管理 的 概念 来 源 于 商业 领域 ,主要 指 对 商业 行为 或 目的 投资 的 风险 进行 分 析 、 评 估 与 管 
理 ,力求 以 最 小 的 风险 获得 最 大 的 收益 。 
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9.2 信息 安全 风险 管理 


信息 安全 风险 管理 是 信息 安全 管理 的 重要 部 分 ,是 规划 、 建 设 、 实 施 及 完善 信息 安全 
管理 体系 的 基础 和 主要 目标 ,其 核心 内 容 包括 风险 评估 和 风险 控制 两 部 分 。 风 险 管理 的 
概念 来 源 于 商业 领域 ,主要 指 对 商业 行为 或 目的 投资 的 风险 进行 分 析 、 评 估 和 管理 ,力求 
以 最 小 的 风险 获得 最 大 的 收益 。 风 险 的 观念 及 管理 应 自始至终 贯穿 于 整个 信息 安全 管 
理 体 系 。 


9.2.1 风险 评估 


风险 评估 主要 包括 风险 分 析 和 风险 评价 。 风 险 分 析 是 指 全 面 地 识别 风险 来 源 及 类 型 ; 
风险 评价 是 指 依据 风险 标准 估算 风险 水 平 ,确定 风险 的 严重 性 。 一 般 认为 ,与 信息 安全 风险 
有 关 的 因素 主要 包括 资产 ,威胁 脆弱 性 、 安 全 控制 等 。 

(1) 资产 (Assets) 是 指 对 组 织 具 有 价值 的 信息 资源 ,是 安全 策略 保护 的 对 象 。 

(2) 威胁 (Threat) 主 要 指 可 能 导致 资产 或 组 织 受 到 损害 的 安全 事件 的 潜在 因素 。 

(3) 脆弱 性 (Vulnerability) 一 般 指 资产 中 存在 的 可 能 被 潜在 威胁 所 利用 的 缺陷 或 薄弱 
点 ,如 操作 系统 漏洞 等 。 

(4) 安全 控制 (Security Control) 是 指 用 于 消除 或 减低 安全 风险 所 采取 的 某 种 安全 行 
为 ,包括 措施 、 程 序 及 机 制 等 。 

如 图 9-2 所 示 ,信息 安 全 中 存在 的 风险 因素 之 间 相 互 作用 、 相 互 影 响 。 在 信息 安全 管理 
过 程 中 ,安全 风险 随 各 因素 的 变化 呈现 动态 调整 演变 趋势 ,威胁 .脆弱 性 .安全 事件 及 资产 等 
风险 因素 的 增加 均 会 扩大 安全 风险 ,只 有 安全 控制 的 实施 才能 有 效 地 减少 风险 。 


{ 实施 安全 需求 产业 =/ 


图 9-2 信息 安全 风险 因素 及 相关 关系 


风险 可 以 描述 成 关于 威胁 发 生 概率 和 发 生 时 的 破坏 程度 的 函数 ,用 数学 符号 描述 如 下 : 
RiCAss Ti Vi) = POT YX ROT 
由 于 某 组 织 部 门 可 能 存在 很 多 资产 和 相应 的 脆弱 性 , 故 该 组 织 的 资产 总 风险 可 以 描述 
如 下 : 
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Re = DRA, TV DP x Per 


上 述 关于 风险 的 数学 表达 式 ,只 是 给 出 了 风险 评估 的 概念 性 描述 ， 并 不 是 具体 的 评估 计 
算 公式 。 由 于 对 某 个 特定 组 织 的 信息 资产 进行 的 安全 风险 评估 直接 服务 于 安全 需求 ,所 以 
风险 评估 需要 完成 以 下 四 个 任务 。 识 别 组 织 面临 的 各 种 风险 ,了 解 总 体 的 安全 状况 ; 分 析 
计算 风险 概率 , 预 估 可 能 带 来 的 负面 影响 ; 评价 组 织 承受 风险 的 能 力 ,确定 各 项 安全 建设 的 
优先 等 级 ; 推荐 风险 控制 策略 ,为 安全 需求 提供 依据 。 风 险 评估 的 操作 范围 可 以 是 整个 组 
织 , 也 可 以 是 组 织 中 的 某 一 部 门 或 者 独立 的 信息 系统 .特定 系统 组 件 和 服务 等 。 针 对 不 同 
的 情况 ,选择 适当 的 风险 评估 方法 对 有 效 地 完成 评估 工作 来 说 十 分 重要 。 目 前 ,常见 的 风险 
评估 方法 有 基线 评估 .详细 评估 和 组 合 评估 。 

1. 基线 评估 

基线 评估 (Baseline Assessment) 是 有 关 组 织 根据 其 实际 情况 (所 在 行业 、 业 务 环境 与 性 
质 等 ) ,对 信息 系统 进行 安全 基线 检查 (将 现 有 的 安全 措施 与 安全 基线 规定 的 措施 进行 比较 ， 
计算 之 间 的 差距 ) ,得 出 基本 的 安全 需求 ,给 出 风险 控制 方案 。 所 谓 的 基线 就 是 在 诸多 标准 
规范 中 确定 的 一 组 安全 控制 措施 或 者 惯例 ,这 些 措施 和 惯例 可 以 满足 特定 环境 下 的 信息 系 
统 的 基本 安全 需求 ,使 信息 系统 达到 一 定 的 安全 防护 水 平 。 组 织 采用 国际 标准 和 国家 标准 
(如 BS 7799-1、ISO 13335-4) ,行业 标准 或 推荐 (例如 德国 联邦 安全 局 IT 基线 保护 手册 ) 以 
及 来 自 其 他 具有 相似 商务 目标 和 规模 的 组 织 的 惯例 作为 安全 基线 。 基 线 评估 的 优点 是 需要 
的 资源 少 、 周 期 短 、 操 作 简单 ,是 经 济 有 效 的 风险 评估 途径 。 基 线 评估 的 缺点 是 ,比如 基线 水 
准 的 高 低 难以 设 定 , 如 果 过 高 ,可 能 导致 资源 浪费 和 限制 过 度 ; 如 果 过 低 , 可 能 难以 达到 所 
需 的 安全 要 求 。 

2. 详细 评估 

详细 评估 (Detailed Assessment) 是 指 组 织 对 信息 资产 进行 详细 识别 和 评价 ,对 可 能 引 
起 风险 的 威胁 和 脆弱 性 进行 充分 的 评估 ,根据 全 面 系统 的 风险 评估 结果 来 确定 安全 需求 及 
控制 方案 。 这 种 评估 途径 集中 体现 了 风险 管理 的 思想 ,全 面 系统 地 评估 资产 风险 ,在 充分 了 
解 信息 安全 具体 情况 下 ,力争 将 风险 降低 到 可 接受 的 水 平 。 详 细 评 佑 的 优点 在 于 组 织 可 以 
通过 详细 的 风险 评估 对 信息 安全 风险 有 较 全 面 的 认识 ,能 够 准确 确定 目前 的 安全 水 平和 安 
全 需求 。 详 细 的 风险 评估 可 能 是 一 个 非常 耗费 资源 的 过 程 ,包括 时 间 、 精 力 和 技术 ,因此 组 
织 应 该 仔细 设 定 待 评估 的 信息 资产 范围 ,以 减少 工作 量 。 

3. 组 合 评估 

组 合 评估 要 求 首 先 对 所 有 的 系统 进行 一 次 初步 的 风险 评估 ,依据 各 信息 资产 的 实际 价 
值 和 可 能 面临 的 风险 ,划分 出 不 同 的 评估 范围 ,对 于 具有 较 高 重要 性 的 资产 部 分 采取 详细 风 
险 评估 ,而 其 他 部 分 采用 基线 风险 评估 。 组 合 评估 将 基线 和 详细 风险 评估 的 优势 结合 起 来 ， 
既 节 省 了 评估 所 耗费 的 资源 ,又 能 确保 获得 一 个 全 面 系统 的 评估 结果 ,而且 组 织 的 资源 和 资 
金 能 够 应 用 到 最 能 发 挥 作 用 的 地 方 ,具有 高 风险 的 信息 系统 能 够 被 优先 关注 。 组 合 评估 的 
缺点 是 如 果 初 步 的 高 级 风险 评估 不 够 准确 ,可 能 导致 某 些 本 需要 详细 评估 的 系统 被 忽略 。 


9.2.2 风险 控制 
风险 控制 是 信息 安全 风险 管理 在 风险 评估 完成 之 后 的 另 一 项 重要 工作 。 任 务 是 对 风险 
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评估 结论 及 建议 中 的 各 项 安全 措施 进行 分 析 评 估 ,确定 优先 级 以 及 具体 实施 的 步 又。 风险 
控制 的 目标 是 将 安全 风险 降低 到 一 个 可 接受 的 范围 内 。 消 除 所 有 风险 往往 是 不 切实 际 的 ， 
甚至 也 是 近乎 不 可 能 的 ,安全 管理 人 员 有 责任 运用 最 小 成 本 来 实现 最 合适 的 控制 ,使 潜在 安 
全 风险 对 该 组 织造 成 的 负面 影响 最 小 化 。 

风险 控制 通常 采用 三 种 手段 来 降低 安全 风险 ,它们 分 别 是 风险 承受 、 风 险 规避 和 风险 转 
移 。 风 险 承受 是 指 运 行 的 信息 系统 具有 良好 的 健壮 性 ,可 以 接受 潜在 的 风险 并 稳定 运行 ,或 
采取 简单 的 安全 措施 ,就 可 以 把 风险 降低 到 一 个 可 接受 的 级 别 。 风 险 规避 是 指 通过 消除 风 
险 出 现 的 必要 条 件 ( 如 识别 出 风险 后 ,放弃 系统 某 项 功能 或 关闭 系统 ) 来 规避 风险 。 风 险 转 
移 是 指 通 过 使 用 其 他 措施 来 补偿 损失 ,从 而 转移 风险 ,如 购买 保险 等 。 

一 般 来 说 ,风险 控制 措施 是 以 消除 风险 产生 条 件 、 切 断 风 险 形成 的 路 线 为 基本 手段 ,最 
终 阻 止 风险 的 发 生 或 降低 风险 到 可 接受 的 水 平 。 如 图 9-3 所 示 ,判断 风险 是 否 存在 可 以 通 
过 系统 的 分 析 过 程 得 出 。 可 以 看 出 风险 发 生 的 必要 条 件 主 要 包括 存在 可 被 利用 的 脆弱 性 、 
威胁 源 、 攻 击 成 本 较 小 以 及 风险 预期 不 可 接受 等 。 风 险 控制 就 是 要 消除 或 减低 这 些 条 件 , 具 
体 做 法 如 下 。 

(1) 当 存 在 系统 脆弱 性 时 ,减少 或 修补 系统 脆弱 性 ,降低 脆弱 性 被 攻击 利用 的 可 能 性 。 

(2) 当 系统 脆弱 性 可 利用 时 ,运用 层次 化 保护 、 结 构 化 设计 以 及 管理 控制 等 手段 ,防止 
脆弱 性 被 利用 或 降低 被 利用 后 的 危害 程度 。 

(3) 当 攻击 成 本 小 于 攻击 可 能 的 获 利 时 ,运用 保护 措施 ,通过 提高 攻击 者 成 本 来 降低 攻 
击 者 的 攻击 动机 ,如 加 强 访 问 控制 ,限制 系统 用 户 的 访问 对 象 和 行为 ,降低 攻击 获 利 。 

(4) 当 风 险 预 期 损失 较 大 时 ,优化 系统 设计 、 加 强 容错 容 灾 以 及 运用 非 技术 类 保护 措施 
来 限制 攻击 的 范围 ,从 而 将 风险 降低 到 可 接受 范围 。 


《无 R 险 ) ”无 R 险 ) 


否 


预期 损失 
不 可 接受 


图 9-3 安全 风险 的 分 析 与 判断 


具体 的 风险 控制 措施 主要 分 为 技术 类 、 运 营 类 管理 类 ,如 表 9-1 所 示 。 实 施 风 险 控制 
措施 是 一 个 系统 化 工程 。 美 国 NIST 制定 的 SP800 系列 标准 给 出 了 详细 的 具体 流程 ,分 为 
如 下 七 个 步骤 。 

第 一 步 ,对 实施 控制 措施 的 优先 级 进行 排序 ,分 配 资源 时 .对 标 有 不 可 接受 的 高 等 级 的 
风险 项 应 该 给 予 较 高 的 优先 级 。 

第 二 步 , 评 估 所 建议 的 安全 选项 ,风险 评估 结论 中 建议 的 控制 措施 对 于 具体 的 单位 及 其 
信息 系统 可 能 不 是 最 适合 或 最 可 行 的 ,因此 要 对 所 建议 的 控制 措施 的 可 行 性 和 有 效 性 进行 
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分 析 ,选择 出 最 适当 的 控制 措施 。 

第 三 步 , 进 行 成 本 效益 分 析 ,为 决策 管理 层 提供 风险 控制 措施 的 成 本 效益 分 析 报 告 。 

第 四 步 , 在 成 本 效益 分 析 的 基础 上 ,确定 即将 实施 的 成 本 有 效 性 最 好 的 安全 措施 。 

第 五 步 , 送 选 出 那些 拥有 合适 的 专长 和 技能 ,可 实现 所 选 控制 措施 的 人 员 ( 内 部 人 员 或 
外 部 合同 商 ) ,并 赋 以 相应 责任 。 

第 六 步 ,制定 控制 措施 的 实现 计划 ,计划 内 容 主要 包括 风险 评估 报告 给 出 的 风险 风险 
级 别 以 及 所 建议 的 安全 措施 ,实施 控制 的 优先 级 队列 、 预 期 安全 控制 列表 、 实 现 预期 安全 控 
制 时 所 需 的 资源 、 负 责 人 员 清 单 、 开 始 日 期 .完成 日 期 以 及 维护 要 求 等 。 

第 七 步 ,分 析 计 算出 残余 风险 ,风险 控制 可 以 降低 风险 级 别 , 但 不 会 根除 风险 ,因此 安全 
措施 实施 后 仍然 存在 残余 风险 。 


表 9-1 风险 控制 措施 分 类 


类 别 措 施 属 性 
身份 认证 技术 预防 性 
加 密 技术 预防 性 
防火 墙 技术 预防 性 
RS 入 侵 检 测 技 术 检查 性 
系统 审计 检查 性 
蜜 钠 、 蜜 网 技术 纠正 性 
物理 访问 控制 ,如 重要 设备 使 用 授权 等 预防 性 
运营 类 容 灾 、 容 侵 , 如 系统 备份 .数据 备份 等 预防 性 
物理 安全 检测 技术 、 防 盗 技 术 、 防 火 技 术 等 检查 性 
责任 分 配 预防 性 
权限 管理 预防 性 
管理 类 安全 培训 预防 性 
人 员 控 制 预防 性 
定期 安全 审计 检查 性 


9.3 信息 安全 标准 


目前 有 关 信 息 安全 的 国际 标准 很 多 ,在 前 面 提 到 的 互 操作 技术 与 工程 .信息 安全 管理 
与 控制 三 类 标准 中 ,技术 与 工程 标准 最 多 也 最 详细 ,它们 有 效 地 推动 了 信息 安全 产品 的 开发 
及 国际 化 ,如 CC、SSE-CMM 等 标准 。 互 操作 标准 多 数 为 所 谓 的 "事实 标准 ” ,这些 标准 对 信 
息 安全 领域 的 发 展 同样 做 出 了 巨大 的 贡献 ,如 RSA、DES、CVE 等 标准 。 信 息 安全 管理 与 控 
制 标准 的 意义 在 于 可 以 更 具体 有 效 地 指导 信息 安全 具体 实践 ,其 中 BS 7799 就 是 这 类 标准 
的 代表 ,其 卓越 成 绩 也 已 得 到 业界 共识 。 

1996 年 ,通用 标准 (Common Criteria,CC)TESEC、ITSEC、CTCPEC.FC 等 信息 安全 标 
准 的 基础 上 演变 形成 。1996 年 .ISO/IEC TR 1333 被 提出 ,其 目的 是 为 有 效 实施 IT 安全 管 
理 提 供 建 议和 支持 ,是 一 个 信息 安全 管理 方面 的 指导 性 标准 ,早期 被 称 作 《IT 安全 管理 指 
南 》(Guidelines for the Management of IT Security.GMITS) ,新 版 称 作 《信息 和 通信 技术 管 
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宝 
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理 》(Management of Information and Communications Technology Security, MICTS ) 。 
SSE-CMM(System Security Engineering Capability Maturity Model) 是 由 美国 国家 安全 局 
(NSA) 开 发 的 专门 用 于 系统 安全 工程 的 能 力 成 熟 度 模型 。CVE(Common Vulnerabilities 
and Exposures) 即 通用 漏洞 及 暴露 ,是 IDnA(Intrusion Detection and Assessment) 的 行业 
标准 ,为 每 一 个 信息 安全 漏洞 给 出 一 个 通用 的 名 称 和 标准 化 的 描述 。1995 年 ,BS 7799 是 英 
国标 准 协 会 (British Standards Institute, BST) 针 对 信息 安全 管理 而 制定 的 标准 ,2000 年 被 
采纳 为 ISO/IEC 17799, 采 用 层次 结构 在 形式 定义 安全 策略 的 基本 架构 。1996 年 ,COBIT 
(Control Objectives for Information and related Technology) ,目前 国际 上 通用 的 信息 系统 
审计 标准 ,提出 了 机 密 性 、 完 整 性 、 可 用 性 有 效 性 、 高 效 性 、 可 靠 性 和 符合 性 七 个 控制 目标 。 


9.3.1 信息 技术 安全 性 通用 评估 标准 


CC 标准 是 The Common Criteria for Information Technology security Evaluation 的 缩 
写 , 即 (信息 技术 安全 性 通用 评估 标准 》 的 简称 在 美国 和 欧洲 等 推出 的 测评 准则 上 发 展 起 来 
的 ,其 发 展演 变 如 图 9-4 所 示 。CC 标准 提倡 安全 工程 的 思想 ,通过 对 信息 安全 产品 的 开发 、 
评价 、 使 用 全 过 程 的 各 个 环节 的 综合 考虑 来 确保 产品 的 安全 性 。CC 文档 在 结构 上 分 为 三 
个 部 分 ,这 三 个 部 分 相互 依存 、 缺 一 不 可 ,可 从 不 同 层面 描述 了 CC 标准 的 结构 模型 。 第 一 
部 分 “简介 和 一 般 模型 ”介绍 CC 中 的 有 关 术 语 、 基 本 概念 和 一 般 模型 以 及 与 评估 有 关 的 一 
些 框 架 , 附 录 部 分 主要 介绍 “保护 轮廓 "和 “安全 目标 ”的 基本 内 容 ; 第 二 部 分 “安全 功能 要 
求 ”, 这 部 分 以 “类 、 子 类 组件” 的 方式 提出 安全 功能 要 求 , 对 每 一 个 “类 ”的 具体 描述 除 正文 
之 外 ,在 提示 性 附录 中 还 有 进一步 的 解释 ; 第 三 部 分 “安全 保证 要 求 ”, 定 义 了 评估 保证 级 
别 ,介绍 了 “保护 轮廓 "和 “安全 目标 ”的 评估 ,并 同样 以 “类 、 子 类 、 组 件 ” 的 方式 提出 安全 保证 


美国 国防 部 加 拿 大 可 信 计 算 
DoD5200.28-M 一 -一 基 产 品评 价 准则 
(1979) CTCOEC(1989) 
美国 国防 部 可 信 欧洲 信息 技术 ne 
计算 基 评价 准则 ~| 安全 性 评价 准则 -| el 
TCSEC(1983) ITSEC(1991) 
[L_ | 。 美国 联邦 准则 cc 成 为 国际 标准 
FC(1992) 1SO 15408(1999) 


图 9-4 CC 标准 的 演进 历程 


CC 标准 对 安全 需求 的 表示 形式 给 出 了 一 套 定义 方法 ,并 将 安全 需求 分 成 产品 安全 功 
能 方面 的 需求 和 安全 保障 措施 方面 的 需求 两 个 独立 范畴 来 定义 。 产 品 安全 功能 方面 的 需求 
称 为 安全 功能 需求 ,主要 用 于 描述 产品 应 该 提供 的 安全 功能 。 安 全 保障 措施 方面 的 需求 称 
为 安全 保证 需求 ,主要 用 于 描述 产品 的 安全 可 信和 度 以 及 为 获取 一 定 的 可 信 度 应 该 采取 的 措 
施 。 在 CC 标准 中 ,安全 需求 以 类 、 族 、 组 件 的 形式 进行 定义 ,给 出 了 对 安全 需求 进行 分 组 归 
类 的 方法 。 首 先 ,对 全 部 安全 需求 进行 分 析 , 根 据 不 同 的 侧重 点 ,划分 成 若干 大 组 ,每 个 大 组 
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就 称 为 一 个 类 ; 每 个 类 的 安全 需求 ,根据 不 同 的 安全 目标 ,又 划分 为 若干 族 。 每 个 族 的 安全 
需求 ,根据 不 同 的 安全 强度 和 能 力 ,进一步 划分 ,用 组 件 来 表示 更 小 的 组 。 因 此 ,安全 需求 由 
类 构成 ,类 巾 族 构成 , 族 由 组 件 构成 。 组 件 是 CC 标准 中 最 小 的 可 选 安全 需求 集 , 是 安全 需求 
的 具体 表现 形式 。 表 9-2 给 出 了 安全 需求 定义 部 分 的 安全 功能 需求 类 和 安全 保证 需求 类 。 


表 9-2 安全 需求 类 定义 


安全 功能 需求 类 ( 共 11 项 ) 安全 保证 需求 类 ( 共 7 项) 
安全 审计 类 构造 管理 类 
通信 类 发 行 与 使 用 类 
加 密 支 持 类 开发 类 
用 户 数据 保护 类 指南 文档 类 
身份 识别 与 认证 类 生命 周期 支持 类 
安全 管理 类 测试 类 
隐私 类 脆弱 性 评估 类 
安全 功能 件 保护 类 
资源 使 用 类 
安全 产品 访问 类 
可 信 路 径 / 通 道 类 


安全 需求 定义 中 的 “类 、 族 ,组 件 ” 体 现 的 是 分 类 方法 ,安全 需求 由 组 件 体 现 ,选择 需求 组 
件 等 同 选 择 安全 需求 。CC 标准 定义 了 三 种 类 型 的 组 织 结构 用 于 描述 产品 安全 需求 ,分 别 
是 安全 组 件 包 、 保 护 轮廓 定义 和 安全 对 象 定义 。 安 全 组 件 包 是 把 多 个 安全 需求 组 件 组 合 在 
一 起 所 得 到 的 组 件 集合 。 保 护 轮廓 定义 是 一 份 安全 需求 说 明 书 ,是 针对 某 一 类 安全 环境 确 
立 相应 的 安全 目标 ,进而 定义 为 实现 这 些 安全 目标 所 需要 的 安全 需求 。 保 护 轮廓 定义 的 主 
要 内 容 包括 定义 简 述 .产品 说 明 、 安 全 环境 、 安 全 目标 、 安 全 需求 .应 用 注释 和 理论 依据 等 。 
安全 对 象 定义 是 一 份 安全 需求 与 概要 设计 说 明 书 ,不 同 的 是 安全 对 象 定义 的 安全 需求 是 为 
某 一 特定 的 安全 产品 而 定义 的 ,具体 的 安全 需求 可 通过 引用 一 个 或 多 个 保护 轮廓 定义 来 定 
义 , 也 可 从 头 定义 。 安 全 对 象 定义 的 组 成 部 分 主要 包括 定义 简 述 ,产品 说 明 、 安 全 环境 、 安 全 
目标 、 安 全 需求 .产品 概要 说 明 、 保 护 轮廓 定义 的 引用 声明 和 理论 依据 等 。CC 标准 定义 了 
一 套 评价 保证 级 别 , 可 记 为 EAL .作为 描述 产品 的 安全 可 信 度 的 尺度 。CC 标准 通过 评价 产 
品 的 设计 方法 工程 开发 .生命 周 期 .测试 方案 和 脆弱 性 评估 等 方面 所 采取 的 措施 来 确立 产 
品 的 安全 可 信和 度 。 如 表 9-3 所 示 ,CC 标准 按 安全 可 信和 度 由 低 到 高 一 次 定义 了 七 个 安全 可 信 
度 级 别 ,EAL 的 各 个 级 别 都 涉及 多 个 安全 保障 需求 的 内 容 。EAL 给 出 了 产品 获取 不 同 级 
别 安全 可 信和 度 的 可 行 性 及 所 付出 的 相应 代价 之 间 的 权衡 关系 。 

CC 标准 体现 了 软件 工程 与 安全 工程 相 结 合 的 思想 。 信 息 安 全 产品 必须 按照 软件 工程 
和 安全 工程 的 方法 进行 开发 才能 较 好 地 获得 预期 的 安全 可 信和 度 。 安 全 产品 从 需求 分 析 到 产 
品 的 最 终 实现 ,整个 开发 过 程 可 依次 分 为 应 用 环境 分 析 明确 产品 安全 环境 、 确 立 安 全 目标 、 
形成 产品 安全 需求 、 安 全 产品 概要 设计 、 安 全 产品 实现 等 几 个 阶段 。 各 个 阶段 顺序 进行 ,前 
一 个 阶段 的 工作 结果 是 后 一 个 阶段 的 工作 基础 。 前 面 阶段 的 工作 也 需要 根据 后 面 阶段 工作 
的 反馈 内 容 进 行 完善 拓展 ,形成 循环 往复 的 过 程 。 开 发 出 来 的 产品 经 过 安全 性 评价 和 可 用 
性 鉴定 后 ,再 投入 实际 使 用 。 
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表 9-3 安全 可 信和 度 级 别 


级 别 定 义 可 信和 度 级 别 描述 

EALI ”职能 式 测试 级 表示 信息 保护 问题 得 到 了 适当 的 处 理 

EAL2 结构式 测 试 级 表示 评价 时 需要 得 到 开发 人 员 的 配合 ,该 级 提供 低 中 级 
的 独立 安全 保证 

EAL3 ”基于 方法 学 的 测试 与 检查 级 要 求 在 设计 阶段 实施 积极 的 安全 工程 思想 ,提供 中 级 的 
独立 安全 保证 

EAL4 ”基于 方法 学 的 设计 、 测 试 与 审查 级 ”要 求 按照 商业 化 开发 惯例 实施 安全 工程 思想 ,提供 中 高 
级 的 独立 安全 保证 

EAL5 “ 半 形 式 化 的 设计 与 测试 级 要 求 按照 严格 的 商业 化 开发 惯例 ,应 用 专业 安全 工程 技 


术 及 思想 ,提供 高 等 级 的 独立 安全 保证 

EAL6 ” 半 形 式 化 验证 的 设计 与 测试 级 通过 在 严格 的 开发 环境 中 应 用 安全 工程 技术 来 获取 高 的 
安全 保证 ,使 产品 能 在 高 度 危 险 的 环境 中 使 用 

EAL7 ”形式 化 验证 的 设计 与 测试 级 目标 是 使 产品 能 在 极端 危险 的 环境 中 使 用 。 目 前 只 限于 
可 进行 形式 化 分 析 的 安全 产品 


CC 标准 在 评价 安全 产品 时 ,把 待 评价 的 安全 产品 及 其 相关 指南 文档 资料 作为 评价 对 
象 。 定 义 了 三 种 评价 类 型 ,分 别 为 安全 功能 需求 评价 、 安 全 保证 需求 评价 和 安全 产品 评价 。 
第 一 项 评价 的 目的 是 证 明 安全 功能 需求 是 完全 的 ,一致 的 和 技术 良好 的 ,能 用 做 可 评价 的 安 
全 产品 的 需求 表示 ; 第 二 项 评价 的 目的 是 证 明 安全 保证 需求 是 完全 的 、 一 致 的 和 技术 良好 
的 ,可 作为 相应 安全 产品 评价 基础 ,如 果 安 全 保证 需求 中 含有 安全 功能 需求 一 致 性 的 声明 ， 
还 要 证 明 安 全 保证 需求 能 完全 满足 安全 功能 需求 ; 第 三 项 安全 产品 评价 的 目的 是 要 证 明 被 
评价 的 安全 产品 能 够 满足 安全 保证 的 安全 需求 。 


9.3.2 信息 安全 管理 体系 标准 


BS 7799 是 英国 标准 协会 (British Standards Institute,BSI) 针 对 信息 安全 管理 而 制定 
的 一 个 标准 , 共 分 为 两 个 部 分 。 第 一 部 分 BS 7799 一 1 是 (信息 安全 管理 实施 细则 》, 也 就 是 
国际 标准 化 组 织 的 ISOVIEC 17799 标准 的 部 分 ,主要 提供 给 负责 信息 安全 系统 开发 的 人 员 
参考 使 用 ,其 中 分 11 个 标题 ,定义 了 133 项 安全 控制 (最 佳 惯例 )。 第 二 部 分 BS 7799 一 2 是 
《信息 安全 管理 体系 规范 》( 即 ISO/IEC 27001) ,其 中 详细 说 明了 建立 、 实 施 和 维护 信息 安全 
管理 体系 的 要 求 ,可 用 来 指导 相关 人 员 去 应 用 ISO/VIEC 17799 ,其 最 终 目的 是 建立 适合 企业 
所 需 的 信息 安全 管理 体系 。 在 BS 7799 一 1《 信 息 安全 管理 实施 细则 ) 中 ,从 11 个 方面 定义 
了 133 项 控制 措施 ,这 11 个 方面 分 别 是 : 安全 策略 ; 组 织 信息 安全 ; 资产 管理 ; 人 力 资源 安 
全 ; 物理 和 环境 安全 ; 通信 和 操作 管理 ; 访问 控制 ; 信息 系统 获取 、 开 发 和 维护 ; 信息 安全 
事件 管理 ; 业务 连续 性 管理 ; 符合 性 。 

在 BS 7799 一 2《 信 息 安 全 管理 体系 规范 ) 中 详细 说 明了 建立 、 实 施 和 维护 信息 安全 管理 
体系 的 要 求 ,指出 实施 机 构 应 该 使 用 某 一 风险 评估 标准 来 鉴定 最 适宜 控制 的 对 象 , 对 自己 的 
需求 采取 适当 的 安全 控制 。 建 立 ISMS 需要 6 个 基本 步骤 ,具体 如 下 : 

(1) 定义 信息 安全 策略 。 信 息 安全 策略 是 组 织 信息 安全 的 最 高 方针 ,需要 根据 组 织 内 
各 个 部 门 的 实际 情况 ,分 别 制定 不 同 的 信息 安全 策略 。 

(2) 定义 ISMS 的 范围 。ISMS 的 范围 描述 了 需要 进行 信息 安全 管理 的 领域 轮廓 ,组 织 
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根据 自己 的 实际 情况 ,在 整个 范围 或 个 别 部 门 构架 ISMS 。 

(3) 进行 信息 安全 风险 评估 。 信 息 安全 风险 评估 的 复杂 程度 将 取决 于 风险 的 复杂 程度 
和 受 保护 资产 的 敏感 程度 ,所 采用 的 评估 措施 应 该 与 组 织 对 信息 资产 风险 的 保护 需求 相 
一 致 。 

(4) 信息 安全 风险 管理 。 根 据 风险 评估 的 结果 进行 相应 的 风险 管理 。 

(5) 确定 控制 目标 和 选择 控制 措施 。 控 制 目标 的 确定 和 控制 措施 的 选择 原则 是 费用 不 
超过 风险 所 造成 的 损失 。 

(6) 准备 信息 安全 适用 性 声明 。 信 息 安全 适用 性 声明 记录 了 组 织 内 相关 的 风险 控制 目 
标 和 针对 每 种 风险 所 采取 的 各 种 控制 措施 。 

1985 年 发 布 了 第 一 个 标准 GB 4943《 信 息 技 
术 设 备 的 安全 》, 并 于 1994 年 发 布 了 第 一 批 信息 


信息 安全 标准 体系 


安全 技术 标准 。 截 至 2008 年 ,国家 共 发 布 有 关 了 1 1 1 1 
信息 安全 技术 、 产 品 、 测 评 和 管理 的 国家 标准 69 | 基 | | 殖 | | 和 | | 油 | | 密 | | 保 
项 。 我 国信 息 安全 标准 体系 包括 6 个 部 分 ,分 别 | 如 | | 多 | 如 | | 中 | 县 | | 
是 基础 标准 、 技 术 与 机 制 、 管 理 标准 、 测 试 标准 、【 准 | 【 制 | 【 准 | 【 准 | 【本 | 【本 


密码 技术 和 保密 技术 ,如 图 9-5 所 示 。 在 我 国 众 
多 的 信息 安全 标准 中 ,公安 部 主持 制定 、 国 家 质 
量 技术 监督 局 发 布 的 中 华人 民 共 和 国 国 家 标准 GB 17895 一 199% 计 算 机 信息 系统 安全 保护 
等 级 划分 准则 ) 被 认为 我 国信 息 安 全 标准 奠基 石 。 准 则 将 信息 系统 安全 分 为 5 个 等 级 : 自 
主 保护 级 、 系 统 审 计 保 护 级 、 安 全 标记 保护 级 \、 结 构 化 保护 级 和 访问 验证 保护 级 。 

第 一 级 ,用 户 自主 保护 级 : 本 级 的 计算 机 信息 系统 可 信 计 算 基 通过 隔离 用 户 与 数据 ,使 
用 户 具备 自主 安全 保护 的 能 力 。 

第 二 级 ,系统 审计 保护 级 : 与 用 户 自主 保护 级 相 比 ,本 级 计算 机 信息 系统 可 信 计 算 基 实 
施 了 粒度 更 细 的 自主 访问 控制 ,通过 登录 规程 .审计 安全 性 相关 事件 和 隔离 资源 ,使 用 户 对 


图 9-5 国家 信息 安全 标准 体系 


自己 的 行为 负责 。 

第 三 级 ,安全 标记 保护 级 : 本 级 的 计算 机 信息 系统 可 信 计 算 基 具有 系统 审计 保护 级 所 
有 功能 。 

第 四 级 ,结构 化 保护 级 : 本 级 的 计算 机 信息 系统 可 信 计 算 基 建立 于 一 个 明确 定义 的 形 
式 化 安全 策略 模型 之 上 , 它 要 求 将 第 三 级 系统 中 的 自主 和 强制 访问 控制 扩展 到 所 有 主体 与 
客体 。 

第 五 级 ,访问 验证 保护 级 : 本 级 的 计算 机 信息 系统 可 信 计 算 基 满 足 访 问 监控 器 需求 。 


访问 监控 器 仲裁 主体 对 客体 的 全 部 访问 。 
9.4 信息 安全 法 律 法 规 及 道德 规范 


国家 层面 的 信息 安全 管理 机 构 和 组 织 主 要 致力 于 信息 安全 战略 .信息 安全 政策 及 法 律 
法 规 、 信 息 安全 标准 与 认证 、 信 息 安全 治理 、 信 息 安全 国际 合作 等 方面 的 规划 与 实施 。“ 推 进 
信息 安全 等 级 保护 等 基础 性 工作 ,指导 监督 政府 部 门 .重点 行业 的 重要 信息 系统 与 基础 信息 
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网 络 的 安全 保障 工作 ,加 强 信息 安全 的 立法 ,加 快 形成 法 律 规 范 、 行 政 监 管 .行业 自律 ,技术 
保障 、 公 众 监督 ,社会 教育 相 结合 的 互联 网 管理 体系 ”是 一 段 时 期 内 国家 信息 安全 管理 工作 
的 主要 任务 。 

我 国信 息 安 全 法 规 主要 涉及 信息 系统 安全 保护 、 国 际 联网 管理 .商用 密码 管理 .计算 机 
病毒 防治 和 安全 产品 检测 与 销售 五 个 方面 。 所 有 这 些 法 律 和 规章 奠定 了 中 国 加 强 信息 网 络 
安全 保护 和 打击 网 络 违法 犯罪 活动 的 法 律 基础 。1999 年 9 月 发 布 的 GB 17859 一 1999《 计 
算 机 信息 系统 安全 保护 等 级 划分 准则 》 是 我 国 计 算 机 信息 系统 安全 等 级 管理 的 重要 标准 。 


9.4.1 信息 犯罪 


信息 资源 是 当今 社会 的 重要 资产 ,围绕 信息 资源 的 犯罪 已 成 为 影响 社会 安定 的 重要 因 
素 。 目 前 信息 犯罪 还 没有 权威 定义 ,总 结 各 界 对 信息 犯罪 的 理解 ,可 以 认为 信息 犯罪 是 以 信 
息 技术 为 犯罪 手段 ,故意 实施 的 有 社会 危害 性 的 ,依据 法 律 规定 ,应 当 予 以 刑罚 处 罚 的 行为 。 
目前 多 数 的 信息 犯罪 均 属 于 计算 机 及 网 络 犯罪 。 公 安 部 给 出 的 定义 “所谓 计算 机 犯罪 ,就 
是 在 信息 活动 领域 中 ,以 计算 机 信息 系统 或 计算 机 信息 知识 作为 手段 ,或 者 针对 计算 机 信息 
系统 ,对 国家 、 团 体 或 个 人 造成 危害 ,依据 法 律 规定 ,应 当 予 以 刑罚 处 罚 的 行为 "网络 犯罪 
就 是 行为 主体 以 计算 机 或 计算 机 网 络 为 犯罪 工具 或 攻击 对 象 ,故意 实施 的 危害 计算 机 网 络 
安全 的 ,触犯 有 关 法 律 规范 的 行为 。 

信息 犯罪 一 般 可 以 分 为 两 类 ,一 类 是 以 信息 资源 为 侵害 对 象 , 男 一 类 是 以 非 信息 资源 的 
主体 为 侵害 对 象 。 以 信息 资源 为 犯罪 对 象 的 犯罪 常见 的 有 : 信息 破坏 ,犯罪 主体 出 于 某 种 
动机 ,利用 非法 手段 进入 未 授权 的 系统 或 对 他 人 的 信息 资源 进行 非法 控制 ,具体 表现 为 故意 
利用 损坏 、 删 除 \ 修 改 、 增 加 干扰 等 手段 ,对 信息 系统 内 部 硬件 、 软 件 以 及 传输 的 信息 进行 破 
坏 , 从 而 导致 网 络 信 息 丢 失 、 自 改 、 更 换 等 ,严重 的 可 引起 系统 或 网 络 的 瘫痪 ; 信息 窃取 ,此 
类 犯罪 是 指 未 经 信息 所 有 者 同意 ,擅自 秘密 窃取 或 非法 使 用 其 信息 的 犯罪 行为 ; 信息 滥用 ， 
这 类 犯罪 是 指 由 使 用 者 违规 操作 ,在 信息 系统 中 输入 或 者 传播 非法 数据 信息 ,毁灭 . 自 改 、 取 
代 涂改 数据 库 中 储存 的 信息 ,给 他 人 造成 损害 的 犯罪 行为 。 

信息 犯罪 具有 较 大 的 危害 性 ,具体 危害 如 下 。 妨 害 国 家 安全 和 社会 稳定 的 信息 犯罪 : 
犯罪 主体 利用 网 络 信息 造谣 、 诽 谤 或 者 发 表 、 传 播 有 害 信息 ,煽动 颠覆 国家 政权 、 推 翻 社会 制 
度 、 分 裂 国家 及 破坏 国家 统一 等 。 妨 害 社会 秩序 和 市 场 秩序 的 信息 犯罪 : 犯罪 主体 利用 信 
息 网 络 从 事 虚假 宣传 ,非法 经 营 及 其 他 非法 活动 ,对 社会 秩序 和 正规 的 市 场 秩 序 造 成 恶劣 影 
响 。 例 如 一 些 犯 罪 分 子 利 用 网 上 购物 的 无 纸 化 和 实物 不 可 见 的 特点 ,发 布 虚假 商品 出 售 信 
息 ,在 骗取 购物 者 钱财 之 后 便 销 声 匿 迹 , 致 使 许多 消费 者 上 当 受 骗 。 此 种 行为 严重 破坏 了 市 
场 经 济 秩序 和 社会 秩序 。 妨 害 他 人 人 身 . 财 产权 利 的 信息 犯罪 : 犯罪 主体 利用 信息 网 络 侮 
辱 诽谤 他 人 或 者 骗取 他 人 财产 (包含 信息 财产 )。 例 如 通过 信息 网 络 , 以 窃取 及 公布 他 人 隐 
私 、 编 造 各 种 丑闻 以 及 窃取 他 人 信用 卡 信息 等 方法 为 手段 ,以 达到 损害 他 人 的 隐私 权 、 名 誉 
权 和 骗取 他 人 财产 的 目的 。 

信息 犯罪 具有 如 下 一 些 显 著 特点 。 智 能 化 : 以 计算 机 及 网 络 犯罪 为 例 ,犯罪 者 大 多 是 
掌握 计算 机 和 网 络 技 术 的 专业 人 才 。 多 样 性 : 信息 技术 手段 的 多 样 性 ,必然 造就 信息 犯罪 
行为 的 多 样 性 。 隐 藏 性 强 : 犯罪 分 子 可 能 只 需要 向 计算 机 输入 错误 指令 或 简单 自 改 软件 程 
序 ,作案 时 间 短 ,甚至 可 以 设计 成 犯罪 程序 在 一 段 时 间 后 才 运 行 发 作 , 致 使 一 般 人 很 难 觉察 
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到 。 侦 查 取证 困难 : 以 计算 机 犯罪 为 例 ,实施 犯罪 一 般 为 异地 作案 ,而 且 所 有 证 据 均 为 电子 
数据 ,犯罪 分 子 可 能 在 实施 犯罪 后 ,直接 毁灭 电子 犯罪 现场 ,致使 侦查 工作 和 罪证 采集 相当 
困难 。 犯 罪 后 果 严 重 : 信息 安全 专家 普遍 认为 信息 犯罪 危害 性 的 大 小 ,取决 于 信息 资源 的 
社会 作用 ,作用 越 大 ,信息 犯罪 的 后 果 越 严重 。 


9.4.2 网 络 信任 体系 


在 网 络 环境 下 研究 信任 管理 的 动因 可 以 归纳 为 两 个 方面 : 四 分 析 我 们 在 现实 世界 中 传 
统 的 .用 来 建立 信任 关系 所 依赖 的 相关 信息 ,并 在 互联 网 中 找到 充足 的 相应 的 替代 品 ; 在 不 
同 的 应 用 环境 中 找 出 产生 信任 的 新 的 相关 信息 元 素 。 四 充分 利用 IT 和 互联 网 ,建立 和 收 
集 这 些 相 关 信 息 , 然 后 对 采集 的 信息 进行 加 工 处 理 ,最 后 给 出 被 信任 者 的 信任 等 级 或 信任 
度 , 以 便 信 任 决策 和 改善 信任 环境 。 安 全 和 信任 是 互 为 基础 ,互相 依赖 的 。 安 全 是 通过 建立 
安全 环境 安全 网 络 和 安全 通信 来 保障 所 计算 事件 的 可 信 性 来 提供 对 信任 的 支持 ; 反 过 来 ， 
信任 的 建立 也 可 以 在 某 种 程度 上 帮助 避免 安全 风险 。 

信任 机 制 可 以 看 成 一 种 软 的 安全 机 制 。 一 般 来 说 ,安全 机 制 的 目的 是 提供 一 种 对 恶意 
实体 的 防护 措施 ,但 是 ,在 很 多 情况 下 我 们 需要 保护 自己 免 受 恶 意 资源 信息 的 侵扰 。 信 息 提 
供 者 可 能 提供 错误 的 或 具有 误导 性 的 信息 ,传统 的 安全 机 制 往往 无 法 防御 这 种 威胁 ,而 信任 
系统 可 以 进行 防御 。 信 任 是 一 种 社会 现象 ,在 计算 机 学 者 开始 研究 这 个 问题 之 前 , 它 一 直 是 
心理 学 、 社 会 学 和 管理 学 领域 的 研究 对 象 ,虽然 信任 的 重要 性 在 信息 科学 领域 获得 了 广泛 的 
认可 ,但 其 含义 却 是 相当 复杂 的 。 到 目前 为 止 ,这 一 概念 在 计算 机 与 信息 科学 领域 尚 没有 一 
个 统一 的 、 一 致 的 定义 ,研究 人 员 往 往 根 据 它 在 具体 的 应 用 场合 下 的 不 同 表现 形式 来 进行 不 

在 信息 科学 领域 中 , 几 个 公认 较 好 的 信任 定义 如 下 。 

定义 1: 如 果 一 个 实体 A 面临 中 和 四 两 个 选择 ,其 中 选择 四 可 导致 收益 (Va 十 ) ,选择 @ 
可 导致 损失 (Va 一 ) ,并 且 A 知道 (Va 十 ) 和 (Va 一 ) 的 出 现 依附 于 另外 一 个 实体 B。 如 果 A 
在 这 种 情况 下 做 出 了 选择 ,我 们 就 认为 A 做 了 一 个 信任 决定 ,如 果 A 两 个 都 不 选 ,我 们 就 说 
A 做 了 一 个 不 信任 决定 。 

上 述 定 义 说 明 ,信任 是 一 个 实体 对 另外 一 个 实体 在 某 一 方面 的 主观 度量 ,信任 与 否 依 赖 
于 收益 ,而 且 随 实体 对 (Va 十 ) 和 (Va 一 ) 佑 计 的 不 同 而 不 同 。 

定义 2: 信任 是 一 个 实体 A 期 望 男 一 个 实体 B 完成 一 个 特殊 活动 的 主观 概率 ,实体 B 
所 完成 的 特殊 活动 对 A 的 收益 有 影响 。 

这 一 定义 突出 反映 了 信任 实体 之 所 以 被 信任 ,是 因为 被 信任 实体 有 具有 和 较 高 的 可 靠 性 。 
但 后 来 有 人 发 现 具有 和 较 高 的 可 靠 性 并 不 足以 构成 信任 关系 。 

定义 3( 决 策 性 信任 ): 信任 是 指 在 给 定 环境 下 ,一 个 实体 在 感觉 相对 安全 的 情况 下 ,对 
一 件 事情 或 另外 一 个 实体 愿意 依赖 的 程度 ,即使 这 种 依赖 可 能 招致 负面 影响 。 

上 述 定义 尽管 非常 模糊 ,但 很 多 学 者 认为 该 定义 更 具有 一 般 性 , 它 不 仅 包含 了 信任 本 身 
应 该 包含 的 依赖 可靠、 正面 效应 和 负面 效应 ,而 且 也 包含 了 信任 者 对 待 信任 风险 的 态度 。 

综合 上 述 不 同 的 定义 形式 ,信任 具有 下 列 基 本 特征 。 

(1) 主观 性 : 信任 实体 对 被 信任 实体 的 信任 程度 受信 任 实体 的 个 性 影响 , 即 同一 个 被 
信任 实体 的 行为 表现 在 不 同 的 信任 实体 处 所 获得 的 信任 程度 是 有 差异 的 。 
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(2) 非 对 称 性 : 实体 间 的 信任 关系 一 般 不 是 对 等 的 ,如 在 某 件 事情 上 Alice 非常 信任 
Bob, 但 Bob 未 必 同 样 程度 地 相信 Alice。 

(3) 上 下 文 依赖 性 : 一 种 环境 下 的 信任 关系 在 另外 一 种 环境 下 未 必 成 立 , 如 Alice 信任 
Bob 会 代 自 己 买 机 票 ,但 Alice 不 见得 会 相信 Bob 会 代 自 己 买 机 票 。 

(4) 可 度量 性 : 一 个 实体 对 另外 实体 的 信任 程度 有 大 小 之 分 ,信任 程度 的 大 小 称 为 信 
任 度 ,目前 尚 没有 统一 的 量化 标准 。 

(5) 动态 性 : 实体 的 可 信 性 会 随 着 时 间 的 推移 和 实体 后 来 的 行为 表现 而 改变 。 

(6) 递减 传递 性 : 如 果 Alice 信任 Bob ,而 Bob 信任 Eric, 则 一 般 认为 Alice 能 在 一 定 程 
度 上 信任 Eric。 这 一 特征 也 称 为 推荐 信任 性 。Alice 对 Eric 的 信任 度 , 应 小 于 或 等 于 Alice 
对 Bob 和 Bob 对 Eric 的 信任 度 的 最 小 值 。 

网 络 信任 是 信任 在 特定 环境 下 的 表现 形式 。 我 们 可 以 把 网 络 信任 分 为 供应 方 信任 、 接 
入 方 信任 、 代 理 信任 、 身 份 信任 和 上 下 文 信任 。 供 应 方 信任 描述 的 是 服务 方 或 资源 提供 者 对 
请 求 方 而 言 的 可 信和 性。 这 种 信任 的 目的 在 于 保护 用 户 免 受 恶意 的 或 不 可 靠 的 服务 提供 者 的 
攻击 。 接 入 方 信任 描述 的 是 请 求 服务 的 主体 对 服务 提供 方 而 言 的 可 信和 性 。 这 种 信任 涉及 访 
问 控制 技术 ,典型 实例 是 服务 器 的 接 入 要 求 客户 方 提供 身份 证 明 并 根据 用 户 身份 开放 相应 
的 服务 类 型 。 代 理 信任 描述 的 是 对 代表 相应 实体 参与 网 上 活动 的 普通 代理 或 移动 代理 的 信 
任 。 分 布 式 计算 是 计算 机 网 络 时代 的 关键 技术 。 移 动 代理 是 一 个 代 蔡 人 或 其 他 程序 执行 某 
种 任务 的 程序 , 它 在 复杂 的 网 络 系统 中 能 自主 地 从 一 台 主 机 移动 到 另 一 台 主 机 ,最 后 返回 结 
果 和 消息 。 身 份 信任 描述 的 是 对 一 个 网 络 实体 的 身份 是 否 真实 地 信任 。 实 现 身 份 信任 的 信 
任 系统 往往 称 为 认证 系统 ,典型 代表 有 基于 X. 509 证 书 的 身份 验证 系统 和 PGP 系统 。 身 
份 信任 系统 往往 是 信息 安全 领域 讨论 的 重点 问题 。 上 下 文 信任 也 称 环境 信任 , 它 描述 的 是 
相关 实体 对 必要 的 系统 或 机 构 所 构建 的 网 络 的 可 信 性 程度 ,这 种 类 型 的 信任 包括 基础 设施 、 
保险 法律 系统 法律 的 强制 性 和 社会 的 稳定 性 。 

从 概念 上 可 以 看 出 ,网 络 信任 是 分 层次 的 , 供 方 信任 和 接 入 方 必须 建立 在 身份 信任 的 基 
础 之 上 。 而 上 下 文 信任 处 于 信任 的 最 底层 。 一 个 完善 的 网 络 信任 建立 机 制 ,应 该 能 详细 描 
述 信任 形成 所 依赖 相关 信息 的 数据 类 型 ,包括 这 些 数据 的 产生 、 分 布 情况 与 收集 办 法 ,以 及 
如 何 利用 收集 到 的 数据 进行 信任 度 的 合理 计算 和 推理 。 根 据 这 种 信任 建立 机 制 所 开发 的 完 
善 的 信任 管理 系统 应 当 包括 如 下 的 基本 构件 : 信任 信息 收集 模块 .信任 度 评估 模块 .信任 传 
播 模 块 和 信任 协商 模块 。 网 络 空间 中 的 信任 既 没有 因 稳 固 的 社会 关系 而 带 来 义务 的 关联 ， 
也 没有 因 对 方 的 背景 特征 带 来 信任 的 保证 。 网 上 信任 关系 的 建立 机 制 一 方面 借鉴 了 现实 社 
会 中 的 信任 关系 建立 机 制 , 另 一 方面 由 于 网 络 的 虚拟 性 与 匿名 性 等 特征 ,使 网 上 信任 的 建立 
机 制 又 有 别 于 现实 社会 。 

综合 国内 外 现 有 的 商业 系统 和 有 关 科 研 人 员 的 研究 成 果 ,我们 把 网 络 中 信任 关系 的 建 
立方 法 归纳 为 如 下 三 种 : 基于 身份 证 明 ; @ 基 于 另外 实体 的 推荐 或 声望 ; 四 基于 自己 过 
去 的 交往 经 验 。 

(1) 基于 身份 证 明 。 在 这 种 机 制 下 ,每 一 个 实体 通过 表明 自己 的 身份 获得 对 方 的 信任 ， 
以 这 种 方式 设计 的 系统 往往 以 二 元 逻辑 来 表达 信任 关系 , 即 通过 身份 验证 就 完全 信任 ,没有 
通过 身份 验证 则 完全 不 信任 。 

身份 的 表明 方式 根据 环境 的 需要 可 强 可 弱 , 很 多 简单 系统 通过 口令 机 制 来 实现 ,风险 性 
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较 大 的 应 用 环境 往往 采用 复杂 的 认证 技术 来 实现 ,如 携带 证 书 、 令 牌 等 。 在 要 求 保护 用 户 隐 
私 和 保密 性 强 的 环境 ,还 往往 通过 属性 证 书 、 公 平 交换 等 密码 方式 建立 信任 。 上 述 系 统 的 主 
要 目标 一 般 是 对 资源 实施 访问 控制 ,所 以 往往 和 访问 控制 系统 相 结合 实施 ,根据 预先 定义 的 
策略 对 不 同 身份 的 用 户 开放 不 同 的 权限 。 该 信任 机 制 的 缺陷 是 信任 方 必须 提前 知道 被 信任 
方 的 身份 或 所 属 的 组 织 。 这 种 机 制 在 大 型 网 络 中 实施 ,特别 是 在 互联 网 上 具有 很 大 的 局 限 
性 。 该 机 制 实施 中 证 书 的 签发 往往 由 可 信赖 第 三 方 完 成 ,我 们 可 以 把 这 种 信任 建立 机 制 看 
成 通过 法 制 手段 或 公证 机 构建 立 的 。 目 前 我 国 网 上 银行 证券 等 系统 就 是 这 种 系统 的 代表 。 

(2) 基于 另外 实体 的 推荐 或 声望 。 现 实生 活 中 , 当 双 方 以 前 没有 直接 接触 时 ,信任 者 可 
以 征询 已 经 信任 朋友 的 意见 来 确定 与 陌生 人 的 信任 关系 ,这 种 思想 在 网 络 中 也 得 到 了 实现 ， 
我 们 把 基于 这 种 思想 设计 的 系统 称 为 推荐 系统 。 

推荐 系统 的 实现 依据 是 : 有 效 的 评价 机 制 是 信任 建立 和 管理 的 必要 前 提 , 这 种 评价 必 
须 是 在 不 同 信息 源 的 帮助 下 形成 和 不 断 更 新 的 。 目 前 这 种 推荐 信任 建立 机 制 获得 了 广泛 的 
商业 应 用 ,国内 外 比较 大 型 的 电子 商务 网 站 的 信任 评价 系统 很 多 都 是 基于 此 的 。 这 种 系统 
的 明显 不 足 是 ,信任 度 的 表述 和 度量 的 合理 性 有 待 进一步 解释 (信任 度 是 一 个 对 方 的 全 局 名 
声 和 自己 对 该 实体 感觉 的 函数 ) ,很 多 系统 中 信任 度 计算 过 于 简单 化 。 另 外 一 个 严重 不 足 是 
不 能 很 好 地 解决 恶意 推荐 对 信任 度 评估 的 影响 ,对 推荐 信任 进行 的 处 理 过 于 简单 化 ,往往 是 
简单 的 算术 均值 。 推 荐 系统 的 典型 代表 有 eBay 在 线 拍卖 网 站 的 rating 方案 、 淘 宝 网 和 
PGP 电子 邮件 系统 等 。 

(3) 基于 自己 过 去 的 交往 经 验 。 在 网 络 环境 下 一 般 不 单独 使 用 这 种 建立 信任 的 方法 构 
成 系统 ,其 仅 用 来 作为 增强 网 络 信 任 的 一 个 重要 因素 。 

我 国政 府 对 网 络 信任 体系 的 建设 是 高 度 重视 的 ,2006 年 2 月 23 日 ,国务 院 办 公 厅 转发 
了 国家 网 络 与 信息 安全 协调 小 组 制定 的 4 关于 网 络 信任 体系 建设 的 若干 意见 兴国 办 发 
[2006]11 号 文件 ) ,这 是 我 国信 息 化 建设 和 信息 安全 保障 的 又 一 重要 文件 。 网 络 信任 体系 
是 整个 社会 信任 体系 中 的 一 部 分 , 它 的 建设 也 应 该 纳入 整个 社会 信任 体系 的 框架 ,形成 一 个 
科学 的 严谨 的 、 结 构 合 理 的 体系 。 随 着 整个 社会 信息 化 进程 的 推进 ,经 济 领域 的 个 人 和 企 
业 征 信 系 统 的 建设 户籍 管理 领域 的 身份 证 体系 建设 均 已 在 电子 化 管理 方面 取得 了 很 大 成 
绩 ,网 络 信任 体系 的 构建 应 该 充分 吸收 上 述 社会 信任 体系 已 有 的 建设 成 果 。 美 国政 府 推行 
的 “社会 安全 保障 号 码 ” 和 信用 的 绑 定 性 ,以 及 其 使 用 的 多 功能 性 方便 性 值得 我 国 在 建设 网 
络 信任 体系 中 借鉴 。 


9.4.3 ”网 络 文化 与 熏 情 控制 


信息 安全 关系 到 国家 文化 安全 。 西 方 国家 在 “民主 “自由 ”和 “人 权 ” 的 收 子 下 ,利用 网 
络 向 世界 推销 自己 的 价值 标准 ,道德 文化 和 思想 观念 ,夺取 思想 与 论 制 高 点 的 “没有 硝烟 的 
战争 ”一 直 在 进行 。 在 西方 强大 的 网 络 与 论 攻势 下 ,我 国民 族 传统 文化 的 继承 和 发 扬 遭 到 挑 
战 , 社 会 意识 形态 遭受 严重 威胁 ,社会 价值 观念 和 道德 规范 遭受 严重 冲击 。 在 网 上 进一步 唱 
响 主 旋律 ,广泛 传播 社会 主义 核心 价值 体系 ,大 力 弘 扬中 华文 化 和 中 华 民族 传统 美德 ,努力 
建设 积极 健康 、 共 建 共 享 的 网 上 精神 家 园 ,推动 中 国 特色 网 络 文 化 实现 新 的 跨越 和 发 展 ,是 
安全 网 络 文化 建设 的 核心 内 容 。 

2011 年 10 月 25 日 ,中 共 十 七 届 六 中 全 会 通过 的 《中 共 中 央 关 于 深化 文化 体制 改革 推 
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动 社会 主义 文化 大 发 展 大 繁荣 若干 重大 问题 的 决定 》( 以 下 简称 (决定 力 提 出 ,要 加 强 和 改进 
网 络 文化 建设 和 管理 ,加强 网 上 与 论 引 导 。《 决 定 ) 指 出 ,加 强 网 上 思想 文化 阵地 建设 ,是 社 
会 主义 文化 建设 的 迫切 任务 。 要 认真 贯彻 “积极 利用 、 科 学 发 展 、 依 法 管理 、 确 保安 全 ”的 方 
针 , 加 强 和 改进 网 络 文化 建设 和 管理 ,加 强 网 上 奥 论 引导 , 唱 响 网 上 思想 文化 主旋律 。《 决 
定 ) 要 求 : 实施 网 络 内容 建 设 工程 ,推动 优秀 传统 文化 瑰宝 和 当代 文化 精品 的 网 络 传播 , 制 
作 适 合 互联 网 和 手机 等 新 兴 媒 体 传播 的 精品 佳作 ,鼓励 网 民 创作 格调 健康 的 网 络 文化 作品 。 
支持 重点 新 闻 网 站 加 快 发 展 ,打造 一 批 在 国内 外 有 较 强 影响 力 的 综合 性 网 站 和 特色 网 站 ,发 
挥 主 要 商业 网 站 建设 性 作用 ,培育 一 批 网 络 内 容 生 产 和 服务 骨干 企业 ; 发 展 网 络 新 技术 、 新 
业态 ,占领 网 络 信息 传播 制高点 。 广 泛 开展 文明 网 站 创建 ,推动 文明 办 网 ,文明 上 网 ,督促 网 
络 运 营 服 务 企业 履行 法 律 义务 和 社会 责任 ,不 为 有 害 信息 提供 传播 渠道 。 加 强 对 社交 网 络 
和 即时 通信 工具 等 的 引导 和 管理 ,规范 网 上 信息 传播 秩序 ,培育 文明 理性 的 网 络 环境 。 依 法 
惩处 传播 有 害 信 息 行为 ,深入 推进 整治 网 络 淫秽 色情 和 低俗 信息 专项 行动 ,严厉 打击 网 络 违 
法 犯罪 。 加 大 网 上 个 人 信息 保护 力度 ,建立 网 络 安全 评估 机 制 ,维护 公共 利益 和 国家 信息 
安全 。 

网 络 监控 是 一 个 比较 大 的 概念 。 信 息 安 全 领域 的 网 络 监控 主要 包括 通信 内 容 的 监控 、 
信息 设备 使 用 监控 、 信 息 系 统 漏洞 审查 和 网 站 监控 等 内 容 。 本 节 针 对 网 站 监控 中 的 不 良 信 
息 监 控 和 网 络 与 情 监控 两 部 分 内 容 作 简单 介绍 。 当 然 ,这 种 监控 必须 是 国家 授权 机 构 依 法 
进行 的 。 对 于 广大 普通 用 户 而 言 , 其 计算 机 或 手机 被 恶意 程序 攻击 的 主要 原因 是 打开 了 非 
法 站 点 或 带 有 恶意 代码 的 网 页 或 短信 。 另 外 ,不 良 网 络 游戏 .欺诈 信息 、 黄 色 网 站 等 网 络 内 
容 严重 毒害 了 社会 风气 。 

例如 ,百度 一 下 ,你 就 可 能 上 当 ”。2011 年 8 月 15 日 CCTV 经 济 信息 联播 :“ 百 度 公 
司 自称 是 全 球 最 大 的 中 文 搜索 引擎 ,目前 已 覆盖 了 95% 以 上 的 中 国 网 民 , 每 天 响应 数 亿 次 
搜索 请 求 。 很 多 网 民 都 习惯 了 用 百度 来 获取 信息 。 按 照 我 们 网 民 上 网 的 习惯 ,一 般 都 是 从 
上 到 下 、 从 左 到 右 阅 读 ,而 且 以 我 们 的 常识 来 考虑 ,搜索 排 在 最 前 面 的 都 应 该 是 自然 搜索 的 
结果 。 然 而 记者 在 调查 中 了 解 到 ,推广 链接 已 经 成 为 百度 的 一 种 经 营 模式 。 呈 现在 网 页 上 
的 并 不 是 自然 呈现 的 搜索 结果 ,而 是 被 百度 人 工 干 预 过 的 ,那些 给 百度 付 过 钱 的 网 站 链接 会 
被 优先 安排 在 首页 最 显眼 .最 受 人 关注 的 位 置 。 

虽然 百度 这 个 做 法 有 其 经 营 上 的 考虑 , 却 让 骗子 们 有 了 可 乘 之 机 ,很 多 山寨 网 站 和 钓鱼 
网 站 均 旦 现在 搜索 结果 中 。” 网 站 不 良 信息 监控 系统 是 一 种 主动 防御 方法 ,其 主要 任务 是 : 
加 及 时 发 现 不 良 信息 ; 对 不 良 信 息 源 进行 有 效 滤 除 与 阻 断 ; 四 建立 可 靠 的 资料 储存 系统 
和 权威 的 举证 机 制 , 实 现 对 不 良 信息 的 控制 提供 电子 举证 。 网 站 不 良 信息 监控 系统 的 框架 
如 图 9-6 所 示 。 内 容 检 查 是 实现 网 站 不 良 信息 监控 系统 的 关键 部 分 ,其 实现 思路 是 提取 、 搜 
索 \ 滤 除 、 审 计 。 内 容 提取 主要 是 实现 不 同 信息 的 分 类 ,目前 可 以 分 为 文字 信息 、 图 像 信息 、 
视频 信息 或 音频 信息 ,而 后 根据 不 同 信息 采取 不 同 的 处 理 方式 。 

按照 目前 的 技术 发 展 情况 和 实际 需要 , 现 阶段 对 于 网 站 信息 的 内 容 安全 监管 主要 针对 
文字 信息 数据 。 由 于 智能 技术 的 发 展 远 未 能 达到 可 以 自动 对 如 影音 、 图 像 等 信息 进行 识别 
处 理 的 程度 ,所 以 目前 尚 不 可 能 由 计算 机 替代 人 工 来 进行 此 类 信息 的 处 理 分 析 。 最 常见 并 
已 投入 使 用 的 文字 信息 内 容 检测 技术 ,就 是 利用 关键 词 和 短语 的 匹配 检索 来 进行 安全 检查 。 
对 于 不 同 语种 的 信息 ,匹配 查询 的 情况 略 有 不 同 。 英 文 词 与 词 是 用 空格 隔 开 的 ,因而 非常 便 
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图 9-6 网 站 不 良 信息 监控 系统 框架 


于 计算 机 的 处 理 , 而 中 文 词 与 词 间 没 有 分 隔 符 ,需要 建立 专门 的 中 文 分 词 系统 。 中 文 分 词 系 
统 由 于 涉及 计算 语言 学 等 多 种 学 科 , 其 开发 具有 一 定 难度 。 另 外 ,网 站 不 良 信息 监控 系统 的 
运行 不 仅 需要 大 量 的 数据 资料 ,也 会 产生 大 量 的 数据 。 这 些 数据 包括 内 容 安全 标准 、 智 能 检 
索 知识 库 、 不 良 信息 来 源 记 录 和 摘要 、 要 求 采取 信息 访问 限制 的 信息 源 地 址 记录 以 及 系统 运 
行 产 生 的 各 种 日 志 IP 文件 等 。 合理 地 存储 和 管理 这 些 信息 并 及 时 更 新 对 系统 的 正常 运行 
非常 重要 。 

网 络 和 与 情 从 一 定 程度 上 反映 了 社会 关心 的 热点 问题 ,及 时 监控 汇集 、 研 判 是 引导 危机 
与 论 的 重要 前 提 。 利 用 信息 采集 、 自 然 语 言 智能 处 理 ( 文 本 挖掘 ) 和 全 文 检 索 等 技术 构建 的 
与 情 监控 系统 ,通过 对 互联 网 的 新 闻 、 论 坛 和 博客 上 各 类 信息 进行 汇集 分 类 整合. 筛选 等 
处 理 , 能 完成 与 情 要素 的 识别 .抽取 和 实时 统计 功能 。 和 与 情 监控 系统 的 架构 一 般 由 网 络 信息 
采集 系统 .与 情 分 析 引 擎 、. 与 情 服务 平台 三 部 分 构成 。 其 中 网 络 信息 采集 系统 负责 从 互联 网 
采集 新 闻 、 论 坛 ,博客 .评论 等 与 情 信息 ,并 存储 到 与 情 数据 库 中 ,通过 与 情 搜索 引擎 对 海量 
的 与 情 数据 进行 实时 索引 ; 与 情 分 析 引 擎 负责 对 与 情 数据 库 进 行 智能 分 析 和 加 工 。 用 户 可 
以 通过 与 情 服务 平台 浏览 与 情 信息 ,通过 简报 生成 等 功能 完成 对 与 情 的 深度 加 工 。 军 犬 网 
络 与 情 监控 系统 架构 如 图 9-7 所 示 。 


9.4.4 信息 安全 道德 规范 


信息 安全 道德 规范 应 该 基于 三 个 原则 , 即 整体 原则 ,兼容 原则 和 互惠 原则 。 整 体 原则 是 
指 一 切 信息 活动 必须 服从 于 社会 国家 等 团体 的 整体 利益 ,个 体 利益 服从 整体 利益 ,不 得 以 损 
害 团体 整体 利益 为 代价 谋取 个 人 利益 。 兼 容 原则 是 指 社会 的 各 主体 间 的 信息 活动 方式 应 符 
合 某 种 公认 的 规范 和 标准 ,个 人 的 具体 行为 应 该 被 他 人 及 整个 社会 所 接受 ,最 终 实 现 信息 活 
动 的 规范 化 和 信息 交流 的 无 障碍 化 。 互 惠 原则 是 指 任何 一 个 使 用 者 必须 认识 到 ,每 个 个 体 
均 是 信息 资源 使 用 者 和 享受 者 ,也 是 信息 资源 的 生产 者 和 提供 者 ,在 拥有 享用 信息 资源 的 权 
利 的 同时 ,也 应 承担 信息 社会 对 其 成 员 所 要 求 的 责任 。 信 息 交 流 是 双向 的 ,主体 间 的 关系 是 
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图 9-7 军 犬 网 络 与 情 监 控 系统 架构 


交互 式 的 ,权利 和 义务 是 相辅相成 的 。 
在 信息 安全 道德 规范 中 ,计算 机 道德 和 网 络 道德 是 当今 信息 社会 最 重要 的 道德 规范 。 
美国 计算 机 伦理 学 会 为 计算 机 伦理 学 制定 的 十 条 戒律 ,也 可 说 是 计算 机 行为 规范 ,这 些 规范 
一 个 计算 机 用 户 在 任何 环境 中 都 应 该 遵循 的 最 基本 的 行为 准则 ,具体 内 容 : 不 应 用 计算 
机 去 伤害 别人 ; 不 应 干扰 别人 的 计算 机 工作 ; 不 应 窥探 别人 的 文件 ; 不 应 用 计算 机 进行 偷 
窃 ; 不 应 用 计算 机 作伪 证 ; 不 应 使 用 或 复制 你 没有 付 钱 的 软件 ; 不 应 未 经 许可 而 使 用 别人 
的 计算 机 资源 ; 不 应 盗用 别人 的 智力 成 果 ; 应 该 考虑 你 所 编 的 程序 的 社会 后 果 ; 应 该 以 深 
思 熟 虑 和 慎重 的 方式 来 使 用 计算 机 。 美 国 计 算 机 协会 提倡 的 伦理 道德 和 职业 规范 基本 内 
容 : 为 社会 和 人 类 做 出 贡献 ; 避免 伤害 他 人 ; 要 诚实 可 靠 ; 要 公正 并 且 不 采取 歧视 性 行为 ; 
尊重 包括 版 权 和 专利 在 内 的 财产 权 ; 尊重 知识 产权 ; 尊重 他 人 的 隐私 ; 保守 秘密 。 
自 2002 年 起 ,中 国 互联 网 协会 颁布 了 一 系列 行业 自律 规范 ,主要 包括 :《 中 国 互 联网 行 
业 自 律 公约 兴 2002 年 ),《 互 联网 新 闻 信息 服务 自律 公约 》(2003 年 ),《 互 联网 站 禁止 传播 淫 
秽 、 色 情 等 不 良 信息 自律 规范 》(2004 年 ),《 中 国 互联 网 协会 互联 网 公共 电子 邮件 服务 规范 》 
(2004 年 ) 《搜索 引 敬 服务 商 抵制 违法 和 不 良 信息 自律 规范 》(2004 年 ),《 中 国 互联 网 网 络 版 
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权 自 律 公约 》(2005 年 ),《 文 明 上 网 自律 公约 》(2006 年 ),《 抵 制 恶意 软件 自律 公约 》(2006 
年 ),《 博 客服 务 自律 公约 》(2007 年 )《 中 国 互 联网 协会 反 垃 圾 短信 息 自律 公约 》(2008 年 )， 
《中 国 互 联网 协会 短信 息 服务 规范 》(2008 年 )。2006 年 4 月 我 国 发 布 (文明 上 网 自律 公约 》， 
自律 条 文 基本 内 容 : 自觉 遵 纪 守法 ,倡导 社会 公德 ,促进 绿色 网 络 建设 ; 提倡 先进 文化 , 据 
弃 消 极 允 废 ,促进 网 络 文明 健康 ; 提倡 自主 创新 , 据 弃 盗版 副 窃 ,促进 网 络 应 用 繁荣 ; 提倡 
互相 尊重 , 据 弃 造谣 诽谤 ,促进 网 络 和 谐 共 处 ; 提倡 诚实 守信 , 据 弃 弄虚作假 ,促进 网 络 安全 
可 信 ; 提倡 社会 关爱 , 据 弃 低俗 沉迷 ,促进 少年 健康 成 长 ; 提倡 公平 竞争 , 据 弃 尔虞我诈 , 促 
进 网 络 百花 齐 放 ; 提倡 人 人 受益 ,消除 数字 鸿沟 ,促进 信息 资源 共享 。 


9.4.5 信息 安全 法 律 法 规 


随 着 社会 信息 化 的 不 断 升 人 ,建立 完善 信息 安全 法 律 体系 是 当今 重要 课题 。 一 方面 法 
律 法 规 是 震慑 和 惩罚 信息 犯罪 的 重要 工具 , 另 一 方面 法 律 法 规 也 是 合法 实施 各 项 信息 安全 
技术 的 理论 依据 。 

国外 信息 安全 立法 活动 从 20 世纪 60 年 代 开 始 ,1973 年 瑞典 颁布 (瑞典 国家 数据 保护 
法 》。 随 后 ,美国 先后 颁布 了 《信息 自由 法 》《 计 算 机 欺诈 和 滥用 法 》《 计 算 机 安全 法 》《 国 家 
信息 基础 设施 保护 法 》《 通 信 兆 化 法 》《 个 人 隐私 法 》《 儿童 网 上 保护 法 》《 爱 国 者 法 案 》、 
《联邦 信息 安全 管理 法 案 》《 关 键 基 础 设施 标识 、 优 先 级 和 保护 》 和 《 涉 密 国家 安全 信息 ) 等 法 
律 法 规 。 另外 ,德国 颁布 (信息 和 通信 服务 规范 法 》、 法 国 颁布 (互联 网 络 宪章 )、 英 国 颁布 (三 
R 互联 网 络 安全 规则 》、 俄 罗斯 颁布 (联邦 信息 、 信 息 化 和 信息 保护 法 》\ 日 本 颁布 (电信 事业 
法 》, 欧 洲 理事 会 颁布 (网 络 犯罪 公约 》。 

我 国信 息 安全 法 律 体 系 建设 从 20 世纪 80 年 代 开 始 ,1994 年 2 月 颁布 (中 华人 民 共 和 
国 计 算 机 信息 系统 安全 保护 条 例 》, 赋 了 予 公安 机 关 行 使 对 计算 机 信息 系统 的 安全 保护 工作 的 
监督 管理 职权 。1995 年 2 月 颁布 (中 华人 民 共 和 国人 民警 察 法 》, 明 确 公安 机 关 具 有 监督 管 
理 计算 机 信息 系统 安全 的 职责 。 我 国有 关 信 息 安全 的 立法 原则 是 重点 保护 、 预 防 为 主 、 责 任 
明确 、 严 格 管 理 和 促进 社会 发 展 。 

我 国 的 信息 安全 法 律 法 规 从 性 质 和 适用 范围 上 可 分 为 四 类 。 

(1) 通用 性 法 律 法 规 。 如 宪法 、 国 家 安全 法 、 国 家 秘密 法 等 ,这 些 法 律 没有 针对 信息 安 
全 的 规定 ,但 约束 的 对 象 包 括 危害 信息 安全 行为 。 

中 华人 民 共 和 国 宪法 第 四 十 条 规定 :“ 中 华人 民 共 和 国 公民 的 通信 自由 和 通信 秘密 受 
法 律 的 保护 。 除 因 国家 安全 或 者 追查 刑事 犯罪 的 需要 ,由 公安 机 关 或 者 检察 机 关 依 照 法 律 
规定 的 程序 对 通信 进行 检查 外 ,任何 组 织 或 者 个 人 不 得 以 任何 理由 侵犯 公民 的 通信 自由 和 
通信 秘密 。” 

中 华人 民 共 和 国 国家 安全 法 的 第 十 条 规定 :“ 国 家 安全 机 关 因 侦察 危害 国家 安全 行为 
的 需要 ,根据 国家 有 关 规 定 ,经 过 严格 的 批准 手续 ,可 以 采取 技术 侦察 措施 。” 

第 十 一 条 规定 :“ 国 家 安全 机 关 为 维护 国家 安全 的 需要 ,可 以 查验 组 织 和 个 人 的 电子 通 
信 工 具 、 器 材 等 设备 设施 。” 

第 二 十 一 条 规定 :“ 任 何 个 人 和 组 织 都 不 得 非法 持 有 、 使 用 窃听 、 窍 照 等 专用 间谍 器 
材 .” 中 华人 民 共和 国保 守 国 家 秘密 法 的 第 三 条 规定 :“ 一 切 国家 机 关 、 武 装 力量 、 政 党 、 社 会 
团体 ,企业 事业 单位 和 公民 都 有 保守 国家 秘密 的 义务 。” 
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(2) 惩戒 信息 犯罪 的 法 律 。 这 类 法 律 包括 (中 华人 民 共 和 国 刑法 》《 全 国人 大 常委 会 关 
于 维护 互联 网 安全 的 决定 } 等 。 这 类 法 律 中 的 有 关 法 律 条 文 可 以 作为 规范 和 惩罚 网 络 犯罪 
的 法 律 规定 。 

《中 华人 民 共 和 国 刑法 ) 的 第 二 百 一 十 九条 规定 :“ 有 下 列 侵犯 商业 秘密 行为 之 一 ,给 商 
业 秘 密 的 权利 人 造成 重大 损失 的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 ,并 处 或 者 单 处 罚金 ; 造成 
特别 严重 后 果 的 ,处 三 年 以 上 七 年 以 下 有 期 徒刑 ,并 处 罚金 。” 

侵犯 商业 秘密 行为 包括 : 以 盗窃 、 利 诱 .胁迫 或 者 其 他 不 正当 手段 获取 权利 人 的 商业 秘 
密 的 ; 披露 ,使 用 或 者 允许 他 人 使 用 以 前 项 手段 获取 的 权利 人 的 商业 秘密 的 ; 违反 约定 或 
者 违反 权利 人 有 关 保 守 商 业 秘 密 的 要 求 ,披露 .使 用 或 者 允许 他 人 使 用 其 所 掌 握 的 商业 秘 
密 的 。 

(3) 针对 信息 网 络 安全 的 特别 规定 。 这 类 法 律 规定 主要 有 《中 华人 民 共 和 国 计 算 机 信 
息 系 统 安全 保护 条 例 》《 中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联网 管理 暂行 规定 》《 中 华人 
民 共 和 国 计 算 机 软件 保护 条 例 ) 等 。 这 些 法 律 规定 的 立法 目的 是 保护 信息 系统 、 网 络 以 及 软 
件 等 信息 资源 ,从 法 律 上 明确 哪些 行为 构成 违反 法 律 法 规 ,并 可 能 被 追究 相关 民事 或 刑事 
责任 。 

(4) 规范 信息 安全 技术 及 管理 方面 的 规定 。 这 类 法 律 主要 有 《商用 密码 管理 条 例 》《 计 
算 机 信息 系统 安全 专用 产品 检测 和 销售 许可 证 管理 办 法 》《 计 算 机 病毒 防治 管理 办 法 ) 等 。 
商用 密码 管理 条 例 的 第 三 条 规定 :“ 商 用 密码 技术 属于 国家 秘密 。 国 家 对 商用 密码 产品 的 
科研 .生产 、 销 售 和 使 用 实行 专 控 管 理 .” 第 七 条 规定 :“ 商 用 密码 产品 由 国家 密码 管理 机 构 
指定 的 单位 生产 。 未 经 指定 ,任何 单位 或 者 个 人 不 得 生产 商用 密码 产品 。” 
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